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本 书 全 面 介绍 了 现 有 和 未 来 的 汽车 














式 系统 在 需求 、 技 术 和 商业 模式 方面 的 鲜明 特征 。 


























LT AS, ， 并 突出 显示 了 汽车 代入 


本 书 由 汽车 电子 领域 著名 的 专家 学 者 撰写 ， 是 当今 国际 上 汽车 嵌 人 式 
系统 领域 的 最 新 学 术 著 作 ， 禾 盖 了 汽车 馈 入 式 系统 领域 的 四 大 关键 内 容 : 





























中 汽车 府 入 式 系统 架构 ， 包 括 汽车 功能 














放 式 系统 架构 ) 标准 的 应 用 与 智能 车 有 











域 及 其 要 求 、AUTOSAR (汽车 开 
有 技术; 回 租 入 式 系统 通信 ， 包 括 


扔 入 式 汽车 协议 综述 、FlexRay 协议 与 可 靠 的 汽车 CAN 网 络 ; Oi ATLA 





统 软件 及 其 研发 过 程 ， 包 括 汽车 电子 7 























j、 汽 车 艇 入 式 系统 架构 描述 语言 (ADL) 和 基于 模型 的 汽 好 








品 生产 线 、 汽 车 电子 


























统 的 开发 ; 加 验证 测试 与 时 序 分 析 ， 








包括 汽车 控制 软件 讽 























P 软 件 的 复 
ERARA 
1 试 、 基 于 


FlexRay 应 用 模块 的 测试 和 监控 、 基 于 CAN 网 络 的 汽车 通信 系统 的 时 序 分 
析 、 主 要 性 能 提升 方式 - 使 用 偏 移 方式 调度 CAN 信息 以 及 汽车 域 的 形式 



































化 方法 -TTA (定时 触发 架构 ) 概况 等 。 








本 书 在 车 载 架 构 、 多 方面 开发 过 程 〈 子 系统 集成 、 产 品 线 管理 等 )、 














软件 工程 方法 、 藤 入 式 通信 、 安 全 性 和 可 靠 性 评价 以 及 确认 、 验 证 和 测试 

















等 领域 给 读者 呈现 了 先进 的 方法 论 和 技术 解决 方案 。 本 书 适合 
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与 交通 工程 、 机 械 电 子 工程 、 控 制 工程 设计 与 研发 人 员 参 考 阅 读 ， 也 可 作 
为 大 专 院 校 车 辆 与 交通 工程 、 机 械 电 子 工程 、 控 制 工程 专业 硕士 研究 生 和 


























博士 研究 生 课 程 教材 或 参考 书 。 


(CAFRAKAAFT MH) 一 书 旨 在 为 读者 提供 一 个 全 面 的 、 对 现 有 和 未 来 
汽车 电子 系统 的 概述 。 本 书 突出 显示 了 汽车 世界 在 需求 、 技 术 和 商业 模式 方面 的 
鲜明 特征 ， 并 在 以 下 领域 呈现 了 先进 的 方法 论 和 技术 解决 方案 ， 

e 车 载 架构 ; 

© 多 方面 开发 流程 ( 子 系统 集成 、 产 品 线 管理 等 ) ; 

© 软件 工程 方法 ; 

© 安全 性 和 可 靠 性 评价 ; 确认 、 验 证 和 测试 。 

本 书 主要 针对 汽车 工程 专业 人 士 ， 可 以 作为 超出 他 们 专业 知识 领域 技术 问题 
的 参考 书 ， 及 处 于 实践 或 研究 阶段 工程 师 的 参考 书 。 另 一 方面 ， 本 书 也 针对 来 自 
学 术 界 的 研究 型 科学 家 、 博 士 和 硕士 研究 生 ， 因 为 本 书 不 仅 全 面 介 绍 了 该 领域 的 
相关 知识 ， 还 指出 了 该 领域 面临 的 主要 科学 挑战 。 

在 过 去 的 10 年 里 ， 误 入 到 汽车 中 、 基 于 计算 机 的 功能 数量 呈 指 数 增加 。 开 发 
流程 、 技 术 和 工具 已 经 改变 ， 以 适应 变革 。 一 系列 的 电子 功能 ， 如 导航 、 自 适应 控 
制 、 交 通信 息 、 罕 引 控 制 、 稳 定 控 制 和 主动 安全 系统 已 经 在 今天 的 车 辆 上 实现 ， 这 
些 新 功能 并 不 是 独立 的 ， 言 下 之 意 它们 需要 信息 交换 一 一 有 时 有 严格 的 时 间 限 制 、 
有 时 要 用 到 其 他 功能 。 例如， 通过 发 动机 控制 器 或 者 车 轮转 速 传感器 估计 的 车 辆 速 
度 信 息 ， 可 以 用 于 调整 方向 、 控 制 悬 架 ， 或 仅 为 简单 地 选择 正确 的 刊 水 器 速度 。 赃 
入 式 体 系 结构 的 复杂 性 正在 不 断 增加 。 今天， 多 达 2500 个 信号 (如 车 速 这 样 的 基 
本 信息 ) 通过 70 多 个 电子 控制 单元 (ECU) 或 通过 5 种 不 同类 型 的 网 络 来 交换 。 

汽车 工业 的 主要 挑战 之 一 就 是 想 出 方法 和 工具 ， 加 快 将 来 自 各 种 供应 商 的 不 
同 电子 子 系统 集成 到 汽车 的 全 球 电 子 架 构 。 在 过 去 10 年 里 ， 几 个 行业 项 目 已 经 
在 这 个 方向 上 进行 (AEE, EAST, AUTOSAR OSEK/VDX 等 )2， 且 已 经 取得 重 











© Architecture Electronique Embarquee (AEE, 1997—2000) 是 一 个 法 国 项 目 ， 得 到 了 法 国 工业 部 的 
支持 ， 且 有 标致 和 雷诺 、 萨 基 姆 、 西 门 子 、 法 雷 奥 作 为 主要 工业 合作 伙伴 。 它 的 主要 目标 是 找到 
应 用 级 软件 的 可 移植 性 的 解决 方案 。 艇 入 式 电子 架 构 (EAST - EEA, 2001—2004, 2 http: // 
www. east — eea. net/) 是 一 个 欧洲 ITEA 项 目 ， 它 涉及 最 主要 的 欧洲 汽车 制造 商 、 汽 车 第 三 方 供应 
商 、 汽 车 工具 、 中 间 供 应 商 和 研究 机 构 。 汽 车 开放 式 体系 架构 (AUTOSAR, 2004—2007. 参见 
http: //www. auto sar. org) 是 一 项 正在 进行 的 针对 EAST - EEA 的 持续 行动 ， 它 旨 在 建立 开放 的 
汽车 艇 入 式 架 构 标 准 。 开 放 系 统 和 相应 的 汽车 电子 接口 (OSEK， 参 见 http: //www. osek - 
vdx. org) 是 德国 的 一 个 汽车 工业 项 目 ， 它 定义 用 于 通信 、 网 络 管理 和 操作 系统 的 软件 组 件 标 准 。 
OSEK 的 一 些 成 果 (如 OSEK/OS) 已 经 广泛 应 用 于 汽车 产品 
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要 成 果 ( 例 如， 标准 组 件 如 操作 系统 、 网 络 和 中 间 件 、“ 好 做 法 ”等 ) 。 下 一 步 
是 构建 一 个 接受 开放 的 软件 体系 架构 以 及 相关 的 开发 流程 和 工具 ， 它 们 应 该 允许 
容易 整合 不 同 的 汽车 制造 商 和 第 三 方 供应 商 提 供 的 功能 和 ECU。 这 是 AUTOSAR 
项 目 正 在 进行 的 工作 。 

因为 谋 入 在 汽车 上 的 所 有 子 系 统 没 有 相同 的 功能 或 可 靠 性 ， 所 以 不 同 子 系统 
有 不 同 的 服务 质量 。 在 通常 情况 下 ， 一 个 车 载 点 入 式 系统 分 为 几 个 功能 域 ， 它 们 
对 应 于 不 同 的 特性 和 约束 。 其 中 有 两 个 特别 与 车 辆 行为 的 实时 控制 和 安全 有 关 : 
“动力 总 成 ”( 控 制 发 动机 和 变速 器 ) 和 “底盘 ”( 控 制 悬 架 、 转 向 和 制 动 ) 域 。 
对 于 这 些 对 安全 性 至 关 重 要 的 域 ， 技 术 解 决 方案 必须 确保 该 系统 是 可 靠 的 〈 即 
能 够 提供 值得 信任 的 服务 ) ， 且 同时 具有 成 本 效益 。 

这 些 技术 问题 非常 具有 挑战 性， 特别 是 线 控 功能 它 利 用 电子 系统 取代 机 
械 或 液压 系统 ， 比 如 制 动 系统 或 转向 系统 。 设 计 范 式 (时 间 和 触发 、“ 构 建 的 安 
全 ”) 、 通 信 网 络 (FlexRay、TTP/C) 和 中 间 件 层 (AUTOSAR COM) 目前 正在 
积极 发 展 ， 目 的 是 为 了 解决 对 可 靠 性 的 需求 。 

汽车 工业 中 的 主要 成 员 可 以 分 为 : 

© 汽车 制造 商 ; 

© 汽车 第 三 方 供应 商 ; 

© 工具 和 说 入 式 软 件 供应 商 。 

他 们 之 间 的 关系 是 非常 复杂 的 。 例 如 ， 提 供 关 键 技术 的 供应 商 有 时 处 在 一 个 
非常 强势 的 位 置 ， 他 们 可 能 把 技术 方案 强加 给 汽车 制造 商 。 由 于 汽车 制造 商 和 供 
应 商 之 间 的 竞争 非常 激烈 ， 所 以 保守 公司 的 技术 机 密 是 至 关 重 要 的 。 这 已 经 在 技 
术 领 域 产生 了 巨大 的 影响 。 例 如 ， 可 能 需要 进行 的 系统 的 验证 ( 即 验证 系统 满 
足 其 约束 ) 所 使 用 的 技术 ,不 需要 公开 设计 基本 原理 和 实施 细节 的 全 部 信息 。 

缩短 上 市 时 间 将 给 汽车 制造 商 添 加 附加 压力 ， 这 是 因为 汽车 制造 商 必须 能 够 
提出 自己 的 创新 一 这 通常 依赖 于 电子 系统 在 一 个 时 间 框 架 内 。 涉 及 的 成 员 努 力 
缩短 开发 时 间 ， 而 与 此 同时 ， 系 统 的 整体 复杂 性 增加 这 要 求 更 多 的 时 间 。 这 
就 解释 了 为 什么 尽管 存在 经 济 竞 争 ， 但 他 们 仍然 同意 一 起 工作 ， 来 定义 标准 组 件 
和 参考 架构 一 一 这 将 有 助 于 缩短 总 的 研发 时 间 。 

本 书包 括 了 15 章 内 容 ， 主 要 由 来 自 工业 与 学 术 界 直接 参与 工程 和 研究 活动 
的 权威 专家 撰写 。 在 汽车 领域 处 于 前 沿 的 工业 或 工业 研究 机 构 也 为 本 书 做 出 了 许 
多 贡献 ， 他 们 是 : 西门 子 (德国 ) ETAS (德国 )、 沃 尔 沃 (WÈ), Elektrobit 
(芬兰 ) Carmeq (德国 ) MathWorks 有 限 公 司 (美国 ) 、 奥 迪 (德国 ) 。 还 有 一 
些 世 界 著名 机 构 展示 了 它们 对 学 术 界 和 研究 机 构 的 贡献 ， 这 些 机 构 有 : 柏林 理工 
大 学 (德国 ) LORA - 南 锡 大 学 (法 国 )、INRIA (法 国 ) 、 南 特 中 央 理 工大 学 
CE), KTH (瑞典 ) 、 梅 拉 达 伦 大 学 (瑞典 ) 、 凯 特 林 大 学 (美国 ) 、 阿 威 罗 
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大 学 (MAT) 和 乌 尔 姆 大 学 A) 

本 书 编排 内 容 介 绍 如 下 : 

(1) 汽车 架构 

这 部 分 内 容 对 汽车 点 入 式 系 统 及 其 设计 约束 ， 以 及 新 兴 的 、 事 实 上 的 标 
准 一 一 AUTOSAR 进行 了 全 面 介绍 。 第 1 章 “ 车 辆 功能 域 和 它们 的 需求 ”介绍 了 
谈 入 在 汽车 上 的 主要 功能 ， 及 如 何 将 这 些 功 能 分 为 功能 域 (底盘 、 动 力 总 成 、 
车 身 、 多 媒体 、 安 全 和 人 机 接口 ) 。 并 介绍 了 开发 过 程 的 特点 ， 以 及 需要 考虑 的 
安全 、 和 舒适 、 性 能 和 成 本 上 的 要 求 。 

在 第 2 章 “AUTOSAR 标准 的 应 用 ”中 ， 作 者 解决 了 车 载 误 入 式 电子 架构 的 
标准 化 问题 。 他 们 分 析 了 汽车 行业 的 软件 现状 ， 提 出 了 在 AUTOSAR 联盟 中 标准 
化 规范 的 详细 说 明 。 对 AUTOSAR 必须 特别 注意 ， 因 为 它 正在 成 为 一 个 标准 ， 每 
个 人 都 必须 理解 和 应 对 它 。 

接着 在 第 3 章 “ 智 能 车 辆 技术 ”中 ,提出 的 关键 技术 也 已 经 被 开发 出 来 ， 
它们 用 以 满足 今天 的 、 明 天 的 汽车 的 挑战 一 更 安全 、 更 好 地 利用 能 源 、 更 好 地 
利用 空间 (尤其 是 在 城市 中 ) 。 这 些 技术 ， 如 先进 的 传感器 (ER, IRUR 
等 )、 无 线 网 络 或 知 能 辅助 驾驶 等 ， 将 提升 部 分 或 全 部 自动 车 辆 的 概念 ， 它 们 将 
重 塑 交通 景观 和 上 班 一 族 在 21 世纪 的 旅行 经 验 。 

(2) RAKE 

RRA HYD FORMA FG BN RB POUT BERR, RAR 
业 采 用 分 布 式 方法 实现 功能 集成 。 在 这 种 背景 下 ， 网 络 和 协议 是 最 重要 的 。 它 们 
在 集成 功能 、 减 少 布线 的 成 本 和 复杂 性 、 装 备 容错 工具 方面 ， 提 供 关 键 的 支持 。 
其 性 能 和 可 靠 性 的 影响 是 至 关 重 要 的 ， 因 为 大 量 的 数据 是 通过 网 络 提 供给 嵌入 式 
功能 。 这 部 分 包括 第 4、 第 5 和 第 6 章 内 容 一 一 专门 研究 网 络 和 协议 。 

第 4 章 “ 误 入 式 汽车 协议 综述 ”概述 了 用 于 汽车 系统 的 主要 协议 ; 如 CAN, 
J1850, FlexRay, TTCAN 的 特点 和 功能 方案 并 介绍 了 传感器 /执行 器 网 络 
(LIN, TTP/ A) 和 多 媒体 网 络 (MOST、IDB1394) 的 基本 概念 ， 总 结 了 对 通常 
由 中 间 件 层 提供 的 通信 相关 的 服务 识别 以 及 AUTOSAR 对 策 建议 的 概述 。 

CAN 是 目前 在 车 辆 上 实施 最 广泛 的 网 络 。 然 而 ， 尽 管 CAN 拥有 较 高 的 效率 
和 较 好 性 能 ， 但 它 并 不 拥有 关键 安全 性 应 用 程序 所 需 的 特征 。 第 6 章 “ 可 靠 人 
汽车 CAN 网 络 ” 的 目的 是 指出 它 的 局 限 性 〔 它 减少 了 可 靠 性 ) ， 并 提出 技术 解 
决 方案 来 克服 或 减少 这 些 局 限 性 。 特 别 的 是 ， 作 者 介绍 了 基于 CAN 的 技术 、 协 
议和 架构 ， 它 们 可 以 在 菜 些 方面 提高 原始 协议 的 可 靠 性 ,而 同时 仍然 维持 高 水 平 
的 灵活 性 ， 即 (Re) CANcentrate、CANELy、FTT - CAN 和 FlexCAN。 

随 着 技术 的 发 展 ， 越 来 越 多 的 功能 对 数据 带宽 方面 有 强烈 需求 。 此 外 ， 对 安 
全 的 要 求 变 得 越 来 越 严格 。 在 2000 年 ， 为 了 解决 这 两 个 限制 ， 汽 车 工业 开始 开 
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发 一 种 新 的 协议 一 一 FlexRay。 第 5 章 “FlexRay 协议 ”解释 了 FlexRay 的 基本 原 
理 ， 并 对 它 的 特点 和 功能 方案 给 出 了 一 个 全 面 的 概述 。 最 后 ， 以 评估 FlexRay 对 
开发 过 程 的 影响 对 该 章 进行 了 总 结 。 

(3) 说 入 式 软 件 与 研发 流程 

详 入 式 电子 系统 的 设计 流程 依赖 于 在 一 个 特定 的 并 行 工 程 的 方法 下 汽车 制造 
商 与 供应 商 之 间 的 紧密 合作 。 通 常情 况 下 ， 汽 车 制造 商 提供 子 系统 的 规范 给 供应 
商 ; 供应 商 负责 这 些 子 系统 的 设计 与 实现 一 一 包括 软件 组 件 和 硬件 组 件 ， 以 及 机 
械 或 液压 部 分 ， 然 后 将 结果 (产品 ) 提供 给 制造 商 ; 制造 商 依 次 将 它们 集成 到 
汽车 上 ， 并 对 它们 进行 测试 。 然 后 是 “校准 ”阶段 ， 包 括 调谐 控制 和 参数 调节 ， 
以 满足 控制 系统 所 需 的 性 能 。 在 集成 阶段 检测 到 任何 错误 ， 都 会 导致 在 规范 或 设 
计 步 骤 代 价 高 昂 的 修正 。 因 此 ， 为 了 提高 开发 过 程 的 效率 ， 新 的 设计 方法 正在 紧 
起 ， 特 别 的 是 虚拟 平台 的 概念 目前 在 汽车 电子 系统 设计 中 获得 认可 。 

虚拟 平台 的 概念 需要 适合 开发 过 程 每 一 步 设 计 和 验证 活动 的 建 模 技 术 。 在 这 
种 背景 下 ， 基 于 模型 的 开发 (MBD) 已 经 被 汽车 制造 商 和 供应 商 进行 了 广泛 的 
研究 。 汽 车 工业 如 何 适 应 这 种 方法 将 在 第 10 章 “ 基 于 模型 的 汽车 上 说 入 式 系 统 开 
发 ”中 讨论 。 这 一 章 确 定 了 基于 模型 开发 的 优点 ， 探 索 了 实践 状态 ， 并 探究 汽 
车 工业 的 主要 挑战 。 

汽车 系统 的 一 个 主要 问题 是 缩短 上 市 时 间 ， 复 用 组 件 或 子 系统 是 实现 这 一 目 
标的 途径 之 一 。 第 8 章 “ 汽 车 电子 中 软件 的 复 用 ”中 ， 概 述 了 在 汽车 行业 复 用 
软件 时 所 面临 的 挑战 ， 介 绍 了 制造 商 和 供应 商 在 复 用 问题 上 的 不 同 观点 ， 并 介绍 
了 多 合作 伙伴 开发 方法 的 影响 。 

在 参与 研发 的 不 同 合作 伙伴 之 间 共 享 相同 的 建 模 语言 是 简化 合作 开发 过 程 的 
一 种 有 效 手段 。 (建立 ) 这 样 一 种 语言 的 主要 目的 是 : 一 方面 根据 不 同 的 观点 支 
持 描述 研发 不 同 阶段 (需求 规范 、 功 能 规范 、 设 计 、 实 施 和 调谐 等 ) 的 系统 ; 
另 一 方面 ， 以 确保 这 些 不 同 观 点 之 间 的 一 致 性 。 另 一 个 重要 方面 是 能 够 把 误 入 式 
系统 的 结构 映射 成 组 件 (硬件 组 件 、 功 能 组 件 、 软 件 组 件 ) 架构 。 由 架构 描述 
语言 (ADL) 带 来 的 思想 和 原则 完全 适合 这 些 目 标 。 什 么 是 ADL? 为 什么 需要 
ADL? MAH ADL 及 其 相关 的 主要 内 容 是 什么 ? 现在 汽车 行业 中 正在 进行 的 主 
要 工程 是 什么 ? 这 些 问题 的 答案 都 可 以 在 第 9 章 “ 汽 车 架构 描述 语言 ”中 找到 。 

产品 线 的 引进 和 管理 在 汽车 行业 中 具有 重要 意义 。 这 些 产品 线 与 机 械 系统 的 
变化 、 某 些 客户 视觉 变化 联系 起 来 ， 并 在 新 车 上 提供 。 第 7 章 “ 汽 车 电子 产品 
生产 线 ” 呈 现 了 整个 开发 过 程 中 系统 规划 和 持续 管理 的 差异 性 。 本 章 为 研发 的 
不 同 阶段 提供 了 如 何 建 立 可 变性 模型 的 一 些 技 术 以 及 可 追溯 性 准则 。 

(4) 验证 、 测 试 和 时 间 分 析 

汽车 上 的 一 些 功能 从 安全 的 角度 来 说 是 至 关 重 要 的 ， 例 如 底盘 或 动力 总 成 域 
的 某 些 功能 。 因 此 ， 确 认 和 验证 是 最 重要 的 。 
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测试 可 能 是 汽车 行业 最 常用 的 验证 技术 。 第 11 章 “ 汽 车 控制 软件 测试 ” 介 
绍 了 一 般 测试 方法 。 特 别 的 是 该 章 描述 了 与 当前 测试 活动 有 关 的 几 种 方法 ， 如 分 
类 树 方法 、 测 试 场景 选择 法 和 黑 盒 / 和 白 盒 测 斌 法。 正如 早已 提 及 的 ， 通 信 网 络 和 
协议 是 一 个 说 入 式 系 统 可 靠 性 和 性 能 的 关键 因素 。 因 此 ， 通 信和 架构 的 特定 属性 必 
须 验 证 。 第 12 章 “ 基 于 FlexRay 应 用 模块 的 测试 和 监控 ”讨论 了 如 何 将 测试 技 
术 应 用 到 FlexRay 协议 中 。 作 者 总 结 了 在 汽车 应 用 程序 的 开发 过 程 中 验证 步骤 的 
约束 ， 并 解释 了 为 什么 故障 注入 和 监测 技术 可 以 用 于 测试 FlexRay。 

CAN 是 误 入 在 汽车 上 最 受 欢 迎 的 网 络 ， 因 此 其 相关 内 容 是 (大 家 ) 长 时 间 的 
研究 主题 。 第 13 “AT CAN 网 络 的 汽车 通信 系统 的 时 序 分 析 ” 总 结 了 过 去 15 
年 在 CAN 时 序 分 析 领 域 取得 的 主要 成 就 。 特 别 的 是 它 解 释 了 如 何 计算 帧 在 到 达 接 
收 端 之 前 所 经 历 的 时 间 延 迟 界限 〔( 即 帧 的 响应 时 间 )。 本 章 还 将 考虑 出 现 的 传输 错 
误 ， 如 电磁 干扰 。 由 于 CAN 的 介质 访问 控制 协议 是 基于 帧 的 优先 级 ， 因 此 CAN 拥 
有 良好 的 实时 特性 。 然 而 ， 正 变 得 越 来 越 有 问题 的 一 个 缺点 是 其 有 限 的 带宽 。 汽 车 
制造 商 正在 研究 的 一 个 解决 方案 ， 就 是 使 用 偏 移 来 调度 信息 一 一 它 将 导致 信息 帧 
的 去 同步 化 。 正 如 第 14 章 “ 主 要 性 能 提升 方式 : 使 用 偏 移 方式 调度 CAN 信息 ”所 
述 ， 这 种 “交通 塑造 ”在 最 差 工 况 响 应 时 间 方 面 的 策略 是 非常 有 益 的 。 试 验 结果 
表明 : 合理 的 偏 移 可 以 进一步 延长 CAN 的 寿命 ， 并 可 以 推迟 引入 FlexRay 和 额外 
的 CAN。 

第 15 章 “ 汽 车 域 的 形式 化 方法 : TTA 时 间 触 发 架构 概况 ”介绍 了 在 时 间 触 
发 架构 (TTA) 方面 进行 的 形式 化 验证 研究 ， 以 及 更 具体 的 涉及 时 间 触 发 协议 
(TTP/ C) 的 工作 。 该 协议 是 TTA 底层 通信 网 络 的 核心 。 这 些 形式 化 验证 工作 
都 集中 在 分 布 式 系统 的 关键 算法 : 时 钟 同步 、 组 成 员 算 法 或 启动 算法 ， 并 在 可 靠 
性 保证 方面 带 来 了 出 色 表 现 。 据 我 们 所 知 ，TTA 不 再 被 汽车 考虑 或 在 汽车 上 实 
施 。 尽 管 如 此 ,使 用 TTA 形式 化 验证 的 多 年 经 验 对 于 比如 FlexRay 这 样 的 汽车 通 
信 协 议 ， 肯 定 被 证 明 是 非常 宝贵 的 尤其 是 在 认证 程序 将 对 汽车 系统 强制 执行 
的 视角 来 看 。 现 在 对 航空 电子 系统 是 强制 执行 TTA 的 。 

我 们 衷心 感谢 所 有 作者 在 致力 展示 本 书 内 容 时 所 付出 的 时 间 和 精力 。 我 们 也 
非常 感谢 工业 信息 技术 系列 丛书 编辑 一 一 理 查 德 . 拉夫 斯 基 博 士 一 直 以 来 的 支持 
和 鼓励 。 最 后 ， 我 们 要 感谢 CRC 出 版 社 同意 出 版 本 书 ， 并 感谢 他 们 在 编辑 过 程 
中 的 帮助 。 

我 们 希望 本 书 读者 能 为 自己 的 研究 或 应 用 找到 有 趣 的 灵感 源泉 ， 并 希望 本 书 
能 成 为 汽车 谈 入 式 系 统一 个 可 靠 的 、 完 整 的 、 齐 全 的 信息 来 源 。 





Jeb HEM + 纳 威 特 
弗朗西斯 . 西蒙 - 莱 昂 
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谈 入 式 系统 由 于 具有 体积 小 、 能 耗 低 、 集 成 度 高 以 及 子 系统 间 能 通信 融合 的 
优点 ， 非 常 适 合用 于 汽车 产品 。 随 着 汽车 技术 的 发 展 以 及 微 处 理 器 技术 、 说 入 式 
软件 的 不 断 进步 ， 误 入 式 系 统 在 汽车 电子 技术 中 得 到 了 广泛 应 用 。 目 前 ， 从 汽车 
车 身 控制 、 底 盘 控 制 、 动 力 总 成 控制 、 主 动 /被 动 安全 系统 ， 到 人 机 界面 、 车 载 
娱乐 、 远 程 信息 处 理 系统 都 离 不 开 训 入 式 技 术 的 支持 。 在 过 去 的 十 几 年 里 ， 嵌 入 
到 汽车 中 、 基 于 计算 机 的 零 部 件数 量 也 呈 指 数 增 加 。 今 天 ， 多 达 2500 个 信号 
(如 车 速 这 样 的 基本 信息 ) 通过 70 多 个 电子 控制 单元 (ECU) 和 5 种 不 同类 型 
的 车 载 网 络 来 交换 ， 以 对 汽车 进行 控制 。 随 着 汽车 产品 的 进一步 普及 ， 用 户 对 汽 
车 质量 及 可 靠 性 的 期 望 也 日 益 提 高 。 为 了 应 对 这 种 需求 ， 为 了 满足 环境 对 汽车 排 
放 控 制 日 益 严 格 的 标准 ， 也 为 了 占有 更 多 的 市 场 份额 ， 许 多 汽车 制造 商 与 供应 商 
以 及 与 汽车 产品 相关 的 工业 与 学 术 界 ， 正 以 积极 的 姿态 ， 悉 心 研究 并 开发 满足 市 
场 要 求 的 汽车 座 入 式 软 硬件 系统 。 

本 书 是 汽车 误 入 式 系统 领域 的 最 新 著作 。 各 章 内 容 均 由 国际 上 工业 与 学 术 界 
直接 参与 工程 和 科学 研究 活动 的 、 汽 车 电子 及 车 载 网 络 领 域 中 的 杰出 科学 家 和 经 
验 丰富 的 专家 撰写 而 成 ， 他 (W) 们 是 : Nicolas Navet [法 国 国 立 计 算 机 科学 与 
控制 研究 所 (INRIA) 大 科技 研究 中 心 ] 一 一 本 书 总 编著 者 之 一 ， 撰 写 第 4 章 与 
第 14 章 ; Francoise Simonot - Lion (法 国 南 锡 大 学 ) 一 本 书 总 编著 者 之 二 ， 撰 
写 第 1 章 与 第 4 章 ; Yvon Trinquet (法 国 南 特 中 央 理 工大 学 ) 参与 撰写 第 1 章 ; 
Stefan Voget (德国 大 陆 汽车 有 限 责 任 公司 ) Michael Golm [法 立 计 算 机 科 
学 与 控制 研究 所 (INRIA) ] Bernard Sanchez (德国 奥迪 公司 ) 、FriedhelmStap- 
pert (德国 大 陆 汽车 有 限 责 任 公司 ) 撰写 第 2 章 ; Michel Parent [法 国 国立 计算 
机 科学 与 控制 研究 所 (INRIA) ] Patrice Bodu [法 国 国 立 计 算 机 科学 与 控制 研 
xR (INRIA) ] 撰写 第 3 章 ; Bernhard Schatz (德国 莫 尼 黑 大 学 信息 技术 学 院 )、 
Christian Kiihnel (德国 慕尼黑 大 学 信 息 技术 学 院 ) 、Michael Gonschorek (4% zx 
尼 黑 伊 革 比特 集团 ) 撰写 第 5 章 ; Juan Pimentel (LH ŽIAK), Jul- 
ian Proenza (西班牙 巴 利 阿 里 大 学 ) Luis Almeida (葡萄 牙 阿 维 罗 大 学 ) Guill- 
ermo Rodriguez - Navas (西班牙 巴 利 阿 里 大 学 ) 、Manuel Barranco (西班牙 巴 利 阿 
里 大 学 ) Joaquim Ferreira (葡萄 牙 布 朗 库 堡 理 工学 院 ) 撰写 第 6 章 ; Matthias 
Weber (德国 柏林 Carmeg 有 限 公 司 ) Mark - Oliver Reiser (德国 柏林 理工 大 学 ) 
撰写 第 7 章 ; Andreas Krueger, Bernd Hardung, Thorsten Koelzow (德国 奥迪 公 
司 ) 撰写 第 8 章 ; HenrikLoenn (瑞典 沃尔沃 技术 公司 ) Ulrich Freund (德国 斯 
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图 加 特 ETAS 公司 ) 撰写 第 9 章 ; Martin Toerngren, Dejiu Chen, Diana Malvius 
(瑞典 皇家 斯 德 哥 尔 摩 技术 学 院 )、 Jakob Axelsson (瑞典 沃尔沃 汽车 公司 ) HE 
第 10 章 ; Mirko Conrad (美国 马萨诸塞 州 Math Works 有 限 公 司 ) Ines Fey (德国 
柏林 安全 与 建 模 咨询 顾问 ) 撰写 第 11 章 ; Roman Pallierer, Thomas M. Galla 
(奥地利 维也纳 伊 莱 比特 集团 ) 撰写 第 12 章 ; Thomas Nolte, Hans A. Hansson, 
Mikael Nolin, SasikumarPunnekkat (瑞典 梅 拉 达 伦 大 学 ) 撰写 第 13 章 ; Mathieu 
Grenier (法 国 南 锡 计 算 机 科学 研究 与 应 用 洛 林 实 验 室 ) 、Lionel Havet [法 国 国立 
计算 机 科学 与 控制 研究 所 (INRIA) ] 撰写 第 14 章 ; Holger Pfeifer (7&4 4 R44 
大 学 ) 撰写 第 15 章 。 此 外 ， 在 汽车 领域 中 处 于 前 沿 的 厂商 或 工业 研究 机 构 ， 如 
西门 子 (德国 )、ETAS (德国 )、 沃 尔 沃 (mÆ), Elektrobit (芬兰 )、Carmeq 
(德国 )、MathWorks 有 限 公 司 (美国 )、 奥 迪 (德国 ) 等 ， 也 为 本 书 做 出 了 许多 
贡献 。 

本 书 在 汽车 电子 与 车 载 网 络 领 域 为 广大 的 工程 师 、 技 术 人 人员、 设计 者 、 研 
发 人 员 、 教 育 工作 者 和 学 生 ， 提 供 了 一 本 有 关 技 术 、 工 具 和 标准 方面 的 最 新 的 、 
权威 的 、 方 便 和 讲解 透彻 的 手册 。 本 书 探 讨 的 内 容 既 宽泛 又 深入 ， 包 括 了 : 汽车 
谱 入 式 系 统 架 构 、 识 入 式 系 统 通 信 、 谋 入 式 系统 软件 及 其 研发 过 程 以 及 汽车 诺 入 
式 系 统 的 验证 测试 和 时 序 分 析 。 本 书 理论 联系 实际 ， 并 在 每 一 章 的 结尾 都 给 出 了 
参考 文献 ， 以 方便 读者 进行 进一步 的 信息 查阅 和 研究 。 

本 书 第 2 章 由 唐 敏 翻译 ， 第 3 章 由 金 德 全 翻译 ， 第 4 章 由 张 晨 霞 翻译 ， 第 5 
章 由 王 丽 荣 翻 译 ， 第 6 章 由 马超 翻译 ， 其 余 各 章 由 李惠 彬 翻译 ， 研 究 生 李杨 、 张 
A. EEK UL, ME, RER, TIETAS TARDE MRLE, 
李 患 彬 对 全 书 文字 和 插图 进行 了 统一 校 阅 。 对 于 原 书 中 存在 的 明显 小 错误 ， 已 在 
译文 中 直接 修改 ， 不 再 一 一 加 注 说 明 。 

由 于 译 者 水 平 有 限 ， 难 免 存 在 欠 妥 和 误 译 之 处 ， 是 请 国内 外 专家 和 广大 读者 
批评 指正 
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1.1 概述 


汽车 产业 是 当今 世界 第 六 大 经 济 体 ， 全 世界 每 年 生产 大 约 七 千 万 辆 汽车 ， 并 
对 世界 各 地 政府 的 收入 做 出 了 重要 贡献 041 。 至 于 其 他 行业 ， 电 子 和 软件 技术 也 
对 其 功能 、 性 能 、 和 舒适 、 安 全 等 提供 了 显著 的 改进 。 事 实 上 ， 自 1990 年 以 来 ， 
选择 能 入 式 电子 及 更 精确 的 能 入 式 软件 的 行业 ， 正 以 年 增长 率 10% 的 速度 增加 。 
在 2006 年 ， 通 入 式 电子 系统 至 少 占 一 辆 汽车 总 成 本 的 10% ， 且 对 于 高 端 车 型 超 
过 35% 2] 。 这 个 成 本 由 电子 和 软件 组 件 均 摊 。 目 前 ， 超 过 70 个 微 处 理 器 府 和 人 到 
通信 网 络 (500MB 信和 号 数据 ) 中 5] 。 以 下 是 一 些 不 同 的 案例 。 图 1. 1 bas Sik 
入 在 拉 古 那 汽车 上 的 电子 架构 (来源 : 雷诺 ， 法 国 汽车 制造 商 ) ， 它 演示 了 几 个 
互联 的 计算 机 ， 该 电子 架构 控制 了 发 动机 、 刊 水 器 、 灯 光 、 车 门 和 悬 架 ， 电 子 架 
构 还 为 (汽车 ) 驾驶 人 或 乘客 之 间 的 互动 提供 支持 。 在 2004 年 ， 一 辆 大 众 辉 腾 
汽车 的 谍 入 式 电子 系统 是 由 10000 多 个 电气 设备 、61 个 微型 处 理 器 和 3 种 控制 
器 局 域 网 络 (CAN) 组 成 ， 它 们 支持 了 2500 条 数据 、 多 个 子 网 和 多 媒体 总 线 的 
通信 上 。 在 沃尔沃 570 汽车 上 ， 有 两 个 网 络 为 控制 外 视 镜 的 微 处 理 器 、 控 制 车 
门 的 那些 微 处 理 器 和 控制 传动 系统 的 那些 微 处 理 器 之 间 的 通信 提供 支持 。 例 如 ， 
外 视 镜 的 位 置 根据 车 辆 行驶 路 况 进 行 自动 调节 ， 收 音 机 的 音量 调整 到 与 车 辆 速度 
相 适 应 ， 且 此 速度 信息 包含 在 由 汽车 防 抱 死 制 动 系统 (ABS) 控制 器 提供 的 其 他 
类 信息 中 。 在 最 近 的 凯迪 拉克 汽车 上 ， 当 事故 导致 气 寺 充气 时 ， 它 的 微 控制 器 发 
出 信号 给 能 入 式 全 球 定 位 系统 (GPS) 接收 器 ， 后 者 然后 与 手机 通信 ， 从 而 把 车 
辆 的 位 置 告诉 给 救援 服务 〈 站 或 中 心 ) 。 雪 铁 龙 CX 车 型 在 1980 年 的 软件 代码 大 
小 是 1. 1KB ORV: 标致 雪铁龙 ， 法 国 汽车 制造 商 ) 。 在 2000 年 ，607 车 型 软件 
代码 大 小 是 2MB。 这 些 只 是 几 个 例子 , 但 还 有 更 多 的 案例 可 以 说 明 般 入 式 电 子 
系统 在 现代 汽车 上 的 应 用 日 渐 增 长 。 

汽车 行业 得 到 了 迅速 的 发 展 ， 并 将 在 下 述 几 种 因素 的 影响 下 发 展 更 迅猛 ;: E 
家 法 规 要 求 、 客 户 的 需求 和 技术 的 进步 〈 硬 件 和 软件 方面 ) 。 事 实 上 ， 电 子 控制 
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图 1.1 雷诺 拉 古 那 汽 车 敬 入 式 电 子 架构 的 部 分 图 





系统 的 快速 发 展 主要 来 自 于 对 空气 污染 的 监管 。 但 我 们 也 必须 考虑 来 自 消费 者 对 
更 高 动力 性 、 经 济 性 ( 较 低 的 燃油 消耗 ) 、 舒 适 性 和 安全 性 的 需求 。 所 有 都 归于 
这 一 事实 ; 满足 这 些 需求 的 唯一 办 法 是 技术 进步 。 

电子 技术 已 经 取得 了 很 大 的 进步 ， 且 如 今 的 电子 元 器 件 的 质量 一 性能、 可 
靠 性 与 鲁 棒 性 ， 使 得 它们 能 够 用 于 更 为 关键 的 系统 。 与 此 同时 ， 电 子 零 部 件 成 本 
的 下 降 使 得 它们 能 够 满足 车 的 任何 功能 需求 。 此 外 ， 在 过 去 的 十 年 中 ， 随 着 几 种 
汽车 嵌入 式 网 络 ， 如 局 部 互联 网 络 (LIN) 、CAN、TTP/C、FlexRay、MOST 和 
IDB - 1394 的 研发 成 功 ， 多 路 复 用 技术 有 所 发 展 。 其 主要 优点 是 显著 降低 了 布线 
成 本 ， 使 汽车 设计 更 为 灵活 ， 由 一 个 微 控制 器 采样 获得 的 数据 〈 如 车 辆 速度 ) 
可 用 于 遥控 功能 (该 功能 需要 在 没有 额外 传感器 或 外 部 连接 的 情况 下 使 用 这 些 
数据 ) 。 

汽车 店 入 式 系统 应 用 日 益 广泛 的 男 一 个 原因 就 是 这 些 新 的 硬件 和 软件 技术 的 
发 展 促进 了 功能 的 增加 ， 而 这 些 功能 如 果 只 使 用 机 械 技术 或 液压 技术 ， 代 价 将 非 
常 郧 贵 ， 其 至 不 可 行 。 同 时 ， 它 们 满足 最 终 用 户 在 安全 、 和 舒适 甚至 成 本 方面 的 要 
求 。 众 所 周知 的 案例 是 发 动机 电子 控制 、ABS、 电 子 稳定 程序 (ESP) 以 及 主动 
悬 架 等 。 总 之 ， 由 于 这 些 技术 ， 客 户 可 以 买 到 一 款 安全 、 有 效 和 充满 个 性 化 的 汽 
车 ， 与 此 同时 汽车 制造 商 能 够 掌握 产品 变化 和 创新 〈 分 析 师 指出 : 超过 80% 的 
创新 及 带 来 的 附加 值 的 取得 归功 于 电子 系统 5] ) 之 间 的 差异 性 。 此 外 ， 一 些 功 
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能 只 能 通过 数字 系统 来 实现 ， 如 : 

D 掌控 空气 污染 只 能 通过 复杂 的 控制 规律 控制 发 动机 来 取得 。 

D 没有 电子 控制 是 实现 不 了 新 的 发 动机 概念 的 。 

O 基于 发 动机 、 转 向 与 制 动 控制 絮 密 切 互动 的 现代 稳定 控制 系统 (如 ESP) 
是 可 以 使 用 能 入 式 网 络 来 有 效 地 实施 的 。 

最 后 ， 鉴 于 消费 者 的 需求 ， 车 载 多 媒体 和 远程 信息 处 理应 用 正在 迅速 增加 ， 
目前 车 辆 电子 设备 有 免 提 电话 、 音 频 / 无 线 电 设备 和 导航 系统 等 。 对 于 乘客 来 说 ， 
很 多 娱乐 设备 〈 比 如 视频 设备 ) 及 与 外 界 的 实时 通信 也 是 有 需要 的 。 这 些 类 型 
应 用 程序 与 车 辆 本 身 的 操作 没有 多 大 关系 ， 然 而 它们 大 大 增加 了 车载 软件 部 分 的 
比重 。 

简 而 言 之 ， 电 子 系统 使 汽车 的 进步 似乎 是 无 限 的 。 但 是 电子 产品 不 受 任何 外 
界 压力 吗 ? 不 ， 电 子 产品 最 大 的 压力 是 成 本 ! 

汽车 的 主要 功能 是 作为 一 种 安全 、 快 捷 的 交通 工具 ， 我 们 观察 到 这 个 不 断 发 
展 的 “电子 革命 ”有 两 个 主要 的 正面 影响 : 对 客户 /消费 者 来 说 ,他 (她) 们 需 
要 在 性 能 、 和 舒适 性 、 出 行 帮助 (导航) 和 安全 性 方面 的 提升 ， 而 在 为 一 方面 ， 
同时 希望 减少 燃油 消耗 和 成 本 ; 对 利益 相关 者 、 汽 车 制造 商 与 供应 商 来 说 ， 基 于 
软件 的 技术 缩短 了 新 车 上 市 时 间 、 降 低 了 汽车 开发 成 本 、 生 产 和 维护 成 本 。 此 
外 ， 这 些 创 新 系统 对 我 们 的 社会 产生 了 强烈 的 冲击 ， 因 为 它们 减少 的 燃油 消耗 和 
尾气 排放 大 大 改善 了 自然 资源 的 节约 和 环境 的 保护 ， 而 视觉 系统 、 驾 驶 辅助 系 
统 、 车 载 诊断 等 的 设计 目标 是 “ 零 死 亡 ” 率 ， 正 如 前 面 已 经 提 到 的 ， 这 些 系统 
已 在 澳大利亚 、 新 西 兰 、 瑞 典 和 英国 使 用 。 

然而 ， 所 有 这 些 优势 正面 临 着 工程 挑战 ， 因 为 已 经 有 越 来 越 多 的 故障 是 由 于 
电气 /电子 系统 失效 造成 的 。 例 如 ， 参 考 文献 [6] 表明 ，2003 年 德国 有 49. 2% 
的 汽车 故障 是 属于 这 样 的 问题 。 产 品 的 质量 取决 于 其 研发 的 质量 ， 且 日 益 复杂 的 
汽车 嵌入 式 系统 带 来 了 如 何 掌控 它们 的 人 研发 问题 。 设 计 过 程 是 基于 不 同 参与 者 之 
间 的 强力 合作 ， 特 别 是 一 级 供应 商 和 汽车 制造 商 ， 这 涉及 特定 的 并 行 工程 方法 。 
例如 ， 在 欧洲 和 日 本 ， 汽 车 制造 商 把 子 系统 规范 提供 给 供应 商 ， 供 应 商 反 过 来 苋 
相 为 这 些 汽 车 制造 商 寻找 解决 方案 。 然 后 ， 所 选择 的 供应 商 负责 这 些 子 系统 的 设 
计 与 实现 ， 包 括 软件 和 硬件 组 件 ， 也 有 可 能 包括 机 械 或 液压 零 部 件 等 。 产 品 提供 
给 制造 商 或 原始 设备 制造 商 ( OEM) 一 一 他 们 负责 把 这 些 产 品 安装 在 汽车 上 ， 
并 进行 测试 。 最 后 的 校准 工作 要 求 控制 和 调节 参数 调谐 到 满足 控制 系统 性 能 的 设 
计 目 标 。 这 项 工作 与 测试 工作 密切 相关 。 在 美国 ， 这 一 过 程 略 有 不 同 ， 因 为 供应 
商 不 能 被 真正 视 为 独立 于 制造 商 。 

并 不 是 所 有 的 电子 系统 必须 满足 与 先前 的 梁 例 相同 水 平 的 可 靠 性 。 在 对 多 媒 
体系 统 时 ， 客 户 需要 的 是 一 定 的 质量 和 性 能 ， 而 对 底盘 控制 系统 ， 客 户 则 更 为 关 
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注 安 全 问题 。 所 以 ， 每 个 子 系统 的 设计 方法 依赖 于 不 同 的 技术 。 但 是 ， 它 们 都 有 
共同 的 分 布 特点 ， 就 是 都 必须 处 于 由 市 场 确定 的 质量 水 平 ， 并 满足 安全 要 求 和 成 
本 要 求 。 近 几 年 来 ， 在 车 辆 的 核心 关键 功能 (动力 总 成 、 转 向 或 制 动 系统 、 线 
控 系 统 等 ) 上 ， 基 于 计算 机 和 分 布 式 控制 器 的 数量 有 显著 的 增加 ， 因 而 针对 汽 
车 散 入 式 系 统 安 全 评估 和 认证 的 标准 化 配件 出 现 了 ， 此 标准 化 配件 早已 用 于 航空 
电子 和 核 工 业 ， 以 及 其 他 行业 。 因 此 ， 它 们 的 发 展 和 生产 需要 合适 的 方法 ， 包 括 
建 模 、 先 验 估计 、 验 证 以 及 测试 。 此 外 ， 巾 于 汽车 制造 商 之 间 和 供应 商 之 间 的 竞 
争 ， 必 须 基于 成 本 、 性 能 、 可 靠 性 和 安全 约束 推出 新 产品 ， 因 此 设计 过 程 必须 应 
对 复杂 的 优化 问题 。 

车 载 谨 入 式 系统 通常 是 根据 不 同 的 功能 、 约 束 和 模型 的 域 来 分 类 中 。 它 
们 可 以 分 为 “以 车 为 中 心 ”的 功能 域 ， 如 动力 总 成 控制 、 底 盘 控 制 、 主 动 或 被 
动 安全 系统 ， 和 “以 乘客 为 中 心 ” 的 功能 域 ， 如 多 媒体 /车 载 信 息 服 务 、 身 体 / 
舒适 和 人 一 机 界面 (HMI) 。 


1.2 功能 域 



































虽然 有 时 对 于 一 个 给 定 的 区 域 中 只 有 一 个 域 的 情况 不 容易 验证 ， 但 是 汽车 制 
造 商 仍然 把 车 载 嵌 入 式 电子 划分 为 几 个 域 。 根 据 欧洲 ITEA EAST - EEA mi H] 
的 术语 ， 域 被 定义 为 “一 个 包含 知识 、 影 响 范 围 和 活动 的 球体 ， 其 中 有 一 个 或 
多 个 系统 待 处 理 (例如 待 建立 ) 。” 域 这 个 术语 可 以 被 用 来 作为 一 种 手段 ， 把 机 
械 系统 与 电子 系统 组 合 起 来 。 

从 历史 上 看 ， 识 别 的 五 个 域 为 : 动力 总 成 、 底 盘 、 车 身 、 人 机 界面 和 车 载 信 
息 处 理 。 动 力 总 成 域 与 参与 车 辆 纵向 推进 的 系统 有 关 ， 包 括 发 动机 、 变 速 占 和 所 
有 所 属 部 件 。 底 盘 域 是 指 四 个 车 轮 和 它们 的 相对 位 置 与 运动 ; 在 这 个 域 中 ， 系 统 
主要 控制 转向 和 制 动 。 根 据 EAST -EEA 的 定义 ， 车 身 域 包括 不 属于 车 辆 动力 学 
的 实体 ， 是 那些 方便 汽车 用 户 使 用 的 部 件 ， 如 安全 气 旱 、 刊 水 器 、 上 照明、 车 窗 升 
降 器 、 空 调和 座 椅 等 设备 。 人 机 界面 (HMI)〉 域 包括 允许 电子 系统 和 驾驶 人 交换 
信息 的 设备 (显示 絮 和 开关 ) 。 车 载 信息 处 理 域 是 允许 车 辆 和 外 界 交换 信息 的 相 
KAF (如 收音 机 、 导 航 系统 、 互 联网 接 入 和 支付 系统 等 ) 。 

从 一 个 域 到 另外 一 个 域 ， 电 子 系统 往往 有 不 同 的 特点 。 例 如 ， 动 力 总 成 和 底 
盘 的 域 都 表现 出 苛刻 的 实时 约束 和 高 计算 能 力 的 需要 。 然 而 ， 底 盘 域 的 硬件 架构 
在 车 辆 上 的 分 布 更 为 广泛 。 车 载 信息 处 理 域 提出 了 高 数据 处 理 量 的 要 求 。 从 这 个 
角度 来 看 ， 对 于 般 入 式 软 件 的 设计 技术 和 验证 (如 通信 系统 等 )， 采 用 的 技术 解 
决 方案 是 不 同 的 。 
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1.2.1 动力 总 成 域 


正如 前 面 所 提 到 的 ，( 动 力 总 成 ) 这 个 域 代表 了 根据 驾驶 人 要 求 控制 发 动机 
的 系统 〈 例 如 ， 由 节气 门 位 置 传感器 或 制 动 踏板 等 传递 的 加 速 与 减速 ) ， 体 现 了 
对 和 人 式 系统 其 他 部 分 如 气候 控制 或 ESP AY BE, OTT, PEAR AYE A AA 
(如 气流 的 温度 、 氧 气 水 平等 ) 动作 ; 另 一 方面 ， 根 据 给 环境 带 来 的 扰动 (如 只 
声 、 排 气 污染 等 ) 动作 。 它 的 目的 是 优化 某 些 参数 ， 如 驾驶 设备 、 行 驶 舒适 性 
以 及 燃油 消耗 等 。 一 个 参数 可 以 由 这 样 的 系统 进行 控制 :在 发 动机 每 个 循环 内 喷 
射 到 每 个 气缸 内 的 燃油 量 根据 发 动机 转速 (r/min) 和 加 速 踏板 的 位 置 来 确定 。 
另 一 个 参数 是 点 火 定 时 ， 甚 至 所 谓 的 可 变 气 门 正 时 (VVT) ， 它 控制 发 动机 循环 
内 气门 开启 时 间 。 还 有 其 他 如 空气 进入 气 和 最 优 流量 、 上 废气 排 放 等 。 

一 些 信息 如 当前 的 转速 、 和 车 辆 速度 等 通过 该 系统 被 传递 给 男 一 个 系统 ， 其 作 
用 是 把 这 些 信 息 在 仪表 板 上 呈现 给 驾驶 人 ， 这 实际 上 是 人 机 交互 域 的 一 部 分 。 

能 入 式 系统 动力 总 成 域 的 主要 特点 : 

。 从 功能 的 角度 来 看 : 动力 总 成 的 控制 考虑 发 动机 的 不 同 工 作 模式 (缓慢 
和 运行、 部 分 负荷 和 全 负荷 等 ) ， 这 对 应 于 具有 不 同 采样 周期 的 各 种 复杂 的 控制 规 
E (多 变量 )。 由 其 他 系统 提供 的 信号 经 典 采样 周期 是 1ms、2ms 或 Sms， 而 发 
动机 本 喘 信 号 采样 与 发 动机 (转动) 时 间 同 相位 (从 0. lms 到 5ms)。 

© 从 硬件 的 角度 来 看 : 该 域 需要 这 样 的 传感器 ， 就 是 其 规格 必须 要 考虑 成 
本 /分 辩 率 标准 的 最 小 化 。 当 它 针 对 目标 车 辆 在 经 济 上 是 可 行 的 时 候 ， 还 需要 微 
控制 咒 提 供 高 计算 能 力 ， 这 归功 于 它们 的 多 处 理 需 架构 、 专 用 协 处 理 需 〈 浮 点 
运算 ) 以 及 高 存储 容量 。 此 外 ， 安 装 到 硬件 平台 上 的 电子 部 件 对 干扰 和 发 动机 
本 里 的 热 排放 要 具有 重 棒 性 。 

e 从 实施 的 角度 来 看 : 实施 指定 的 功能 就 像 完 成 若干 项 任务 ,它们 根据 采 
样 定理 采用 不 同 的 激活 规则 ， 对 任务 调度 和 与 其 他 系统 安全 通信 实行 严格 的 时 间 
限制 ， 并 使 用 局 部 传感器 /执行 器 。 

连续 的 、 抽 样 的 和 离散 系统 都 可 以 在 这 一 个 域 中 找到 。 控 制 律 包含 许多 校准 
参数 ( 约 2000 个 ) 。 它 们 的 规范 和 验证 由 如 Matlab/Simulink 这 样 的 工具 文 
持 呈 1 。 很 多 技术 问题 的 根源 就 是 它们 的 部 署 与 实施 。 例 如 ， 底 层 控 制 模型 通常 
是 基于 浮 点 值 。 如 果 出 于 经 济 原因 ， 实 施 必须 在 一 个 没有 浮 点 协 处 理 右 的 微 控 制 
器 上 完成 ,那么 程序 员 必须 注意 值 的 精度 ， 以 确保 可 以 满足 在 规范 水 平 下 控制 规 
律 所 要 求 的 精度 52 3] 。 正 如 前 面 提 到 的 ， 另 一 个 重大 的 挑战 是 如 何 有 效 地 调度 
循环 活动 ， 因 为 根据 发 动机 的 循环 ， 它 们 中 的 一 些 活 动 具 有 恒定 的 周期 ， 而 另 一 
些 活 动 具 有 可 变 周期 。 这 意味 着 ， 调 度 它 们 取决 于 不 同 的 逻辑 时 钟 ! 。 目 前 ， 
该 控制 律 的 验证 主要 是 通过 模拟 来 完成 ， 且 对 于 它们 的 整合 ， 主 要 通过 仿真 方法 
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和 /或 测试 来 完成 。 因 为 动力 总 成 域 受 到 苛刻 的 实时 约束 ， 所 以 性 能 评 佑 和 时 序 
分 析 活 动 必须 首先 在 它们 的 实施 模型 上 完成 。 


1.2.2 底盘 域 


底盘 域 组 成 的 系统 的 作用 是 控制 道路 与 车 辆 之 间 的 相互 作用 E RAR 
等 ) 。 控 制 器 考虑 驾驶 人 发 出 的 请 求 〈 转 向 、 制 动 或 加 速 指 令 ) 、 道 路 轮廓 和 环 
境 条 件 〈 如 风向 、 风 速 等 ) ， 它 们 必须 保证 驾驶 人 和 乘客 的 舒适 性 (RAR) 以 及 
他 们 的 安全 。 这 个 域 包 括 的 系统 有 ABS、ESP、 自 动 稳定 控制 系统 (ASC) 和 四 
IKZ (4WD) 。 底 盘 域 对 于 乘客 及 车 辆 本 身 的 安全 来 说 极其 重要 。 因 此 ， 它 的 
研发 必须 具备 高 质量 一 一 就 像 对 于 任何 一 个 关键 系统 。 

底盘 域 和 底层 模型 的 特点 类 似 于 动力 总 成 域 展 示 的 特点 ， 多 变量 控制 规律 、 
不 同 采样 周期 和 严格 的 时 间 限 制 〈( 约 10ms) 。 至 于 动力 总 成 域 ， 该 系统 控制 的 底 
盘 部 件 完全 分 布 到 网 络 化 的 微 控 制 器 上 ， 且 与 其 他 系统 进行 通信 。 例 如 ， 一 个 
ESP 系统 通过 控制 制 动 系统 来 纠正 车 辆 的 轨迹 。 它 的 作用 是 一 旦 有 转向 不 足 或 转 
向 过 度 ， 就 自动 纠正 车 辆 的 轨迹 。 要 做 到 这 一 点 ， 必 须 把 驾驶 人 的 转向 请 求 与 车 
辆 响应 进行 比较 。 这 是 通过 多 个 分 布 在 车 辆 上 的 传感器 (横向 加 速度 、 转 速 、 
各 轮 车 速 ) 来 完成 的 ， 且 采样 频率 为 每 秒 25 个 点 。 一 旦 需要 校正 ， 它 将 制 动 单 
个 前 轮 或 后 轮 ， 和 /或 命令 减少 发 动机 传递 给 动力 传动 系统 的 动力 。 本 系统 与 各 
种 其 他 系统 如 ABS 、 电 子 减 振 器 控制 (EDC) 5151 等 实时 协调 工作 ， 以 确保 车 辆 
的 安全 。 

此 外 ， 目 前 应 用 于 航空 电子 系统 的 线 控 技 术 ， 正 在 汽车 产业 上 兴起 。 当 机 械 
和 /或 液压 系统 被 电子 系统 (智能 设备 ， 网 络 工程 ， 支 持 软件 组 件 实现 过 滤 PE 
制 、 诊 断 与 功能 的 计算 机 ) 取代 时 ， 线 控 是 一 个 通用 术语 。 这 种 技术 的 目的 是 
在 不 同 的 工 况 下 ， 以 更 灵活 的 方式 协助 驾 台 人， 并 降低 制 动 系统 和 转向 系统 的 生 
产 和 维护 成 本 。 如 今 ， 配 备 线 控 系 统 的 车 辆 早已 把 传统 的 机 械 系统 当做 备份 ， 以 
防 电子 系统 失效 。 此 备份 抑制 了 扔 人 式 系统 设计 突然 失效 的 隐患 。 传 统 的 机 械 和 
液压 系统 经 受 住 了 时 间 的 考验 ， 并 已 经 证 明 它 们 是 可 靠 的 。 因 此 ， 一 个 纯粹 的 线 
控 系 统 必 须 至 少 达 到 同一 水 平 的 安全 评 佑 ， 并 具有 宛 余 、 复 制 、 功 能 决定 论 和 一 
些 关 键 基础 词汇 的 容错 性 。 线 控 系 统 被 广泛 地 应 用 于 航空 工业 有 一 些 时 间 了 ， 所 
以 可 以 从 实践 中 总 结 一 些 教训 。 然 而 ， 由 于 经 济 原因 以 及 空间 和 重量 的 限制 ， 用 
于 航空 电子 背景 中 的 解决 方案 无 法 与 汽车 的 相 比 (特别 的 是 ， 它 不 可 能 有 同一 
水 平 的 硬件 元 余 ) 。 因 此 ， 需 要 开发 特定 的 容错 解决 方案 。 注 意 这 个 域 将 遵守 新 
出 现 的 标准 IS026262 (委员 会 草案 在 2008 年 进行 投票 )， 此 标准 是 有 关 和 车载 舰 
人 式 系 统 安全 以 及 所 需 的 认证 过 程 (1.4 节 )。 应 该 指出 的 是 ， 对 于 此 域 ， 尽管 
时 间 触 发 的 软件 技术 缺乏 灵活 性 ， 但 的 确 是 适合 的 解决 方案 。FlexRay 网 络 、0S- 
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EK (汽车 电子 产品 的 开放 式 系统 及 其 接口 ) 实时 操作 系统 和 相关 的 容错 通信 
(FTcom) ， 或 汽车 开放 标准 的 架构 AUTOSAR 的 基本 软件 (第 2 章 ) ， 是 实施 这 
样 系统 很 好 的 方案 。 


1.2.3 车 身 域 


车 身 域 包含 做 和 人 车 辆 上 的 功能 ， 它 们 与 动力 学 控制 无 关 。 如 今 ， 刊 水 器 、 车 
灯 、 车 门 、 车 窗 、 座 位 和 外 后 视 镜 越 来 越 多 地 受 基于 软件 的 系统 控制 。 一 般 来 说 ， 
它们 不 受 严格 的 性 能 的 限制 ， 且 从 安全 的 角度 来 看 ， 它 们 并 不 代表 一 个 系统 的 重要 
组 成 部 分 。 然而， 一 些 功 能 ( 像 一 个 先进 的 系统 ， 其 目的 是 控制 对 车 辆 安全 的 访 
问 ) 必须 遵守 苛刻 的 实时 约束 。 必 须 指出 的 是 ， 车 身 功能 往往 涉及 双方 之 间 通 信 ， 
因而 带 来 了 一 个 复杂 的 分 布 式 架 构 。 在 这 个 域 出 现 了 基于 低 成 本 传感器 - 作 动 器 级 
网 络 的 子 系统 或 类 的 概念 ， 例 如 ，LIN 总 线 构造 的 机 电 一 体 化 系统 模块 。 还 有 一 些 
功能 可 以 和 车 门 关联 ， 如 根据 无 线 网 络 传输 信号 控制 车 门 上 锁 / 解 锁 、 根 据 驾 驶 人 
或 乘客 要 求 控制 车 窗 以 及 对 外 视 镜 和 座 椅 位 置 进行 控制 等 。 这 些 功 能 的 部 署 可 能 是 
这 样 的 : 一 个 电子 控制 单元 (ECU) 接收 请 求 〈 锁 定 /解锁 、 车 窗 上 /下 、 座 椅 向 
上 /向 下 等 ) ， 而 物理 设备 〈 外 后 视 镜 、 车 窗 、 座 椅 ) 实现 所 要 求 动 作 的 电动 机 控 
制 器 是 由 三 个 其 他 ECU 支持 (图 1.2)。 这 四 个 ECU H LIN 总 线 连接 。 由 于 一 些 请 
求 涉及 几 个 车 门 〈 如 锁定 /解锁 请 求 ) ， 所 以 每 一 门 主要 的 ECU 也 连接 在 (例如) 
低速 CAN 上 。 最 后 ， 为 了 把 门 的 状态 ( 门 打开 /关闭 、 车 窗 打开 /关闭 ) ERAS 
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仪表 板 右前 车 门 
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图 1.2 车 门 控制 及 其 布置 的 案例 
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另 一 方面 ， 车 身 域 也 包含 一 个 中 央 子 系统 ， 被 称 为 中 央 车 身 电 子 ， 其 主要 功 
能 是 确保 消息 在 不 同系 统 或 域 之 间 的 传输 。 该 系统 是 一 个 公认 的 关键 中 心 实体 。 
车 身 域 的 功能 主要 涉及 离散 事件 的 应 用 程序 ， 且 它们 的 设计 和 验证 依靠 如 SDL 
的 状态 机 器 、 状 态 图 、UML 状态 转换 图 和 同步 模型 。 这 些 模 型 通过 仿真 ， 在 可 
能 的 情况 下 通过 模型 检验 ， 来 验证 功能 规范 。 如 前 所 述 ， 它 们 的 实施 意味 着 这 种 
功能 规范 分 布 在 分 层 的 分 布 式 硬件 架构 上 。 中 央 车 身 电子 的 实体 需要 高 的 计算 能 
力 ， 且 与 前 两 个 域 相 比 ， 容 错 性 和 可 靠 性 性 能 对 车 刁 系统 来 说 是 强制 性 的 。 虽然 
定时 限制 不 如 动力 总 成 和 底盘 系统 要 求 得 那么 严格 , 但 考虑 到 硬件 平台 性 能 、 每 
一 个 微 控 制品 的 调度 策略 和 网 络 协议 ， 必 须 评 佑 刺激 和 反应 之 间 的 端 到 端的 响应 
时 间 。 事 实 上 ， 设 计 师 必须 证 明 这 些 响应 时 间 总 是 可 接受 的 ， 且 每 一 个 刺激 的 反 
应 是 在 有 界 区 间 内 完成 的 。 在 这 方面 的 挑战 有 : 第 一 ， 能 够 对 状态 转换 图 进行 一 
个 详尽 分 析 研究 ; 第 二 ,确保 实施 遵守 容错 性 和 安全 性 约束 。 这 里 的 问题 是 在 时 
间 触 发 方法 与 灵活 性 之 间 取 得 平衡 。 


12.4 多 媒体 、 远 程 信息 处 理 与 人 机 界面 


车 载 远 程 信息 处 理 包 括 支 持 车 辆 之 间或 车 辆 和 道路 基础 设施 之 间 的 信息 交换 
系统 (这 样 的 系统 早已 用 于 征收 道路 通行 费 ) 。 在 不 和 久 的 将 来 ， 车 载 远程 信息 通 
过 交通 管理 和 避免 拥堵 系统 (第 3 章 )， 将 可 以 优化 道路 使 用 、 自 动 发 信号 避免 
道路 碰撞 、 提 供 远程 诊断 〈1.2.6 市 )， 其 至 提供 按 需 导航 、 按 需 点 播 影音 娱乐 、 
浏览 网 页 、 收 发 电子 邮件 、 语 音 通 话 、 短 信服 务 (SMS) 等 。 

在 一 般 意 义 上 ， 人 机 界面 系统 支持 对 骨 入 在 车 上 众多 的 功能 在 驾驶 人 和 乘客 
之 间 的 互动 。 其 主要 功能 有 : 一 方面 ， 反映 汽车 的 状态 信息 (如 车 辆 速度 、 燃 
油 量 、 车 门 状态 、 车 灯 状 态 等 )、 反 映 多 媒体 设备 状态 (如 当前 无 线 电 装置 频率 
等 ) 或 反映 一 个 请 求 的 结果 (如 导航 系统 提供 可 视 化 地 图 ); 男 一 方面 ， 接 收 对 
多 媒体 设备 的 请 求 (如 对 无 线 电 、 导 航 系 统 的 指令 等 ) 。 下 一 代 多 媒体 设备 将 主 
要 提供 与 娱乐 活动 有 关 的 、 新 的 复杂 的 人 机 界面 系统 。 因 此 ，HMI 系统 发 展 的 
一 个 挑 成 ， 就 是 不 仅 要 考虑 系统 的 质量 、 性 能 和 和 舒适 性 ， 而 且 还 要 考虑 这 一 技术 
对 安全 的 影响 81 。 事 实 上 ， 采 用 的 人 机 界面 必须 简单 直观 ， 且 不 应 妨碍 驾驶 
人 。 控 制 多 媒体 系统 的 方法 之 一 是 避免 太 多 的 按钮 。 命 令 应 该 组 合 起 来 ， 以 最 大 
限度 地 减少 特 驶 人 的 动作 。 最 常见 的 解决 方案 是 把 这 些 功能 集中 在 转向 盘 上 一 一 
对 于 高 端 车 型 ， 存 在 多 达 12 个 按钮 ， 造 成 它们 之 间 存 在 潜在 的 混乱 。 在 什么 位 
置 及 如 何 把 信息 展示 给 驾 怠 人 也 是 一 个 大 问题 。 信 息 需 要 明确 且 不 应 该 分 散 驾 驶 
人 对 道路 的 注意 力 。 例 如 ， 在 新 的 雪铁龙 C6 汽车 上 , 平视 显示 避 (HUD) 允许 
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关键 的 驾驶 信息 (车 辆 的 速度 等 ) 显示 在 驾驶 人 的 直接 视野 内 的 前 风 窗 玻璃 上 。 
由 于 这 样 的 系统 ,驾驶 人 可 以 在 视线 不 离开 道路 的 情况 下 读 取 信息 ， 这 有 别 于 传 
统 的 仪表 板 。 

多 媒体 和 远程 信息 处 理 设 备 将 在 未 来 升级 ， 且 对 于 此 域 采用 即 插 即 用 的 方法 
是 最 好 的 。 这 些 应 用 程序 需要 便携 式 的 ， 且 平台 (操作 系统 和 /或 中 间 件 ) 提供 
的 服务 应 该 有 通用 接口 和 下 载 设 施 。 这 里 的 主要 挑战 是 保护 从 车 辆 来 、 到 车 辆 去 
或 在 车 辆 内 的 信息 的 安全 。 大 小 (估算 ) 和 验证 不 采用 其 他 域 使 用 的 方法 。 在 
这 里 ， 我 们 将 考虑 的 问题 从 信息 、 任 务 和 期 限 约束 转向 数据 流 、 带 宽 共 享 和 多 媒 
体 服 务 质 量 ， 并 从 安全 性 和 硬 实 时 约束 转向 信息 保密 和 软 实时 约束 。 然 而 ， 这 些 
系统 的 最 佳 尺 寸 可 能 难以 确定 。 例 如 ,集成 到 一 个 高 端 汽车 上 的 远程 信息 处 理 和 
多 媒体 平台 可 能 由 两 个 处 理 右 构成 ， 这 些 处 理 右 在 Java 机 或 在 多 任务 操作 系统 
中 运行 的 大 约 250 个 线程 将 被 调度 。 这 些 线程 以 复杂 的 方式 处 理 数 据 流 ， 且 它们 
提供 的 服务 质量 必须 满足 用 户 要 求 。 这 种 系统 是 公认 的 “ 软 的 ”或 “ 硬 的 ” 实 
时 (系统)， 因 为 对 于 某 些 取 决 于 处 理 器 当前 负载 的 线程 来 说 ， 降 低 服务 质量 的 
信号 被 拒绝 是 容许 的 。 

根据 这 一 个 域 专家 的 意见 ， 一 辆 汽车 和 其 环境 之 间 的 通信 [汽车 与 汽车 
(V2V) 或 汽车 与 基础 设施 (V21) ] 将 在 未 来 几 年 变 得 越 来 越 重 要 ， 会 带 来 各 种 
各 样 的 服务 和 强大 的 附加 价值 。 这 个 域 的 未 来 技术 将 从 有 效 的 语音 识别 系统 、 视 
线 操作 开关 、 虚 拟 键盘 等 开始 ， 发 展 到 包括 监控 车 辆 的 状态 、 通 过 避免 显示 无 用 
言 息 来 控制 区 驶 人 工作 负荷 的 新 系统 。 
12.5 主动 /被 动 安全 

基于 客户 需求 和 监管 驱动 ， 对 车 辆 安全 性 (尤其 是 驾驶 人 和 乘客 安全 ) 的 
要 求 越 来 越 高 。 正 如 1.1 节 所 提 到 的 ， 汽 车 业 所 面临 的 挑战 是 设计 汽车 的 能 入 式 
系统 ， 能 够 以 最 小 的 成 本 达到 所 要 求 的 安全 水 平 。 事 实 上 ， 汽 车 仍 和 人 式 安全 系统 
瞄准 两 个 目标 : “主动 安全 ”和 “被 动 安全 ”。 前 者 在 碰撞 前 发 出 报警 ， 后 者 在 
碰撞 后 发 生 作 用 。 安 全 带 和 安全 气 圳 系统 有 助 于 减少 事故 的 影响 ， 所 以 它们 归 类 
于 被 动 安全 。 如 今 ， 被 动 安全 域 已 经 达到 了 一 个 较 高 的 成 熟 等 级 。 安 全 气 圳 是 由 
iRAE— ECU 上 的 复杂 算法 控制 ,使 用 其 他 系统 提供 的 信息 ， 由 来 自 不 同 传 
感 器 的 信号 (减速 度 、 车 辆 速度 ) 进行 预警 ， 以 调节 弹出 安全 气 圳 的 时 机 。 该 
装置 必须 在 从 传感器 检测 到 碰撞 到 其 激活 安全 气 早 的 几 分 之 一 秒 内 工作 。1984 
E, 美国 法规 就 要 求 1989 年 4 月 1 日 以 后 生产 的 汽车 要 在 驾驶 人 侧 配 上 安全 气 
圳 (美国 交通 部 )， 且 在 1998 年 ， 前 排 双 安全 气 蝇 也 成 为 强制 性 的 要 求 。 主 动 
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安全 是 指 避 免 或 减少 事故 ， 且 如 制 动 系统 、ABS、ESP、 和 车 道 保持 等 早已 被 规定 
用 于 这 一 目的 和 销售 。 最 先进 的 技术 解决 方案 (第 3 章 ) 是 自 适 应 巡航 控制 、 
碰撞 预警 /避免 /减轻 系统 ， 它 们 属于 先进 的 驾驶 人 辅助 的 概念 。 在 一 般 情 况 下 ， 
主动 安全 系统 解释 由 各 种 传感器 和 其 他 系统 提供 的 信号 ， 从 而 协助 芍 驶 人 控制 车 
辆 ， 并 和 汽车 几乎 所 有 的 柑 入 式 系统 频繁 互动 。 


1.2.6 诊断 


正如 前 面 章 节 案 例 所 展示 的 ， 如 今 般 入 在 汽车 上 的 复杂 的 电子 架构 ， 意 味 着 
不 同 的 微 控 制 器 之 间 存 在 频繁 的 互动 。 这 说 明 ， 实 时 诊断 已 成 为 贯穿 车 辆 使 用 期 
限 的 一 个 重要 功能 。 因 此 ， 可 以 访问 和 描述 汽车 信息 的 任何 系统 都 是 非常 重要 
的 ， 应 当 与 汽车 的 原始 设计 同步 进行 。 特 别 的 是 ， 指 定 一 个 能 够 收集 信息 和 建立 
车 载 诊断 (OBD) 的 系统 ， 是 有 利于 汽车 所 有 者 以 及 维修 技师 的 。 使 用 此 功能 
的 通用 术语 是 “和 车载 诊断 ” (OBD)。 更 精确 的 ， 这 个 概念 是 指 自 诊断 和 报告 的 
设施 ， 它 由 于 引入 了 可 以 存储 大 量 信息 的 、 以 计算 机 为 基础 的 系统 ， 而 能 够 得 以 
实现 。 早 期 诊断 装置 的 角色 仅 限 于 故障 灯 变 亮 一 一旦 检测 到 一 个 特定 的 问题 ; 
最 近 的 OBD 系统 是 基于 标准 化 的 通信 工具 (标准 化 的 监测 数据 、 编 码 和 列表 ) 
的 一 个 具体 的 故障 报告 一 一 诊断 故障 码 ( DTC)。 由 于 这 一 标准 化 工作 ， 存 储 的 
参数 值 可 以 通过 一 台 兼 容 装 置 来 分 析 。 这 种 标准 化 努力 的 基本 意图 是 在 贯穿 车 辆 
使 用 周期 内 对 废气 排放 控制 系统 进行 监管 约束 。OBD - 开 规 范 对 1996 年 起 所 有 
在 美国 销售 的 汽车 是 强制 性 的 ， 它 精确 地 定义 了 诊断 连接 器 、 电 气 信号 协议 、 信 
息 格 式 以 及 可 以 监测 的 车 辆 参数 。2001 年 ， 欧 洲 排放 标准 条 令 98/69/EC!!9! 建 
立 了 EOBD 的 要 求 一 一 它 是 OBD - 开 的 一 个 变种 ， 主 要 针对 2001 年 1 月 起 所 有 
在 欧盟 销售 的 汽油 车 。 几 个 标准 陆续 提供 : IS09141 -2 涉及 低速 协议 一 一 接近 
RS - 232 的 协议 [2 ;ISO14230 介绍 协议 KWP2000 (关键 词 协议 2000) ， 使 用 更 
大 量 的 信息 5020 ; 还 有 IS015765 提出 一 种 诊断 系统 ， 称 为 基于 CAN 的 诊断 一 一 
采用 CAN P2527) 。 下 一 步 预测 通过 无 线 电 发 射 器 使 报告 排放 超标 成 为 可 能 。 


1.3 ”标准 化 的 部 件 、 模 型 及 流程 


正如 1.1 节 中 所 指出 的 ， 新 的 车 载 怠 入 式 系统 的 设计 是 基于 一 个 协作 式 的 研 
发 流程 。 因 此 ， 它 必须 保证 不 同 合作 方 开发 的 组 件 之 间 的 互通 性 ， 并 便于 移植 到 
不 同 的 平台 以 提高 系统 的 灵活 性 。 一 方面 ， 达 到 这 些 目 标的 一 种 手段 是 由 应 用 流 
程 之 间 共 享 硬 件 资源 的 服务 标准 化 ， 特 别 是 网 络 协议 和 操作 系统 。 男 一 方面 ， 可 
移植 性 是 通过 规范 一 个 通用 的 中 间 件 来 实现 的 。 要 注意 的 是 ， 这 样 一 个 中 间 件 还 
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必须 处 理 互 操作 特性 。 最 后 ， 在 整个 研发 过 程 中 ， 针 对 建 模 和 记录 系统 的 一 个 标 
准 的 和 常见 的 支持 简化 了 设计 过 程 本 身 ， 更 具体 地 说 ， 简 化 了 开发 周期 的 每 一 步 
上 不 同 合作 方 之 间 的 交流 。 下 面 ， 我 们 将 介绍 一 些 标准 化 的 组 件 或 模型 ， 纪 在 文 
持 协 同 开发 过 程 。 


1.3.1 车 载 网 络 和 协议 


已 经 研发 的 具体 的 通信 协议 和 网 络 满足 了 汽车 能 入 式 系统 的 需要 。1993 F, 
SAE 汽车 网 络 (针对 复 用 和 数据 通信 ) 标准 委员 会 确定 了 基于 网 络 速 度 和 功能 
的 车 载 山 入 式 系统 的 三 种 通信 协议 [31 ， 它 们 被 分 别称 为 “A 类 ”“B 类 ”和 “C 
类 ”。 该 委员 会 还 出 版 了 一 本 有 关 安 全 关键 应 用 需求 列表 。 特 别 是 线 控 系 统 的 通 
信 协 议 必 须 遵守 “可 靠 性 和 容错 性 ”要 求 一 一 正如 C 类 所 定义 的 [52 。 与 A 类 兼 
容 的 网 络 提供 的 传输 速率 低 于 10kbit/s， 它 们 专门 用 于 传感器 和 执行 器 网 络 ; 
LIN 总 线 和 TTPA 总 线 是 这 个 类 中 最 重要 的 协议 之 一 。B 类 指定 中 等 网 速 
(10k ~500kbit/s)， 因 此 它 便于 传输 车 辆 中 心 域 和 车 身 电 子 系统 的 信息 。CAN - 
B 广泛 使 用 B 类 协议 。C 类 被 定义 为 在 动力 总 成 域 或 底盘 域 中 与 安全 相关 的 系 
统 。 它 的 数据 传输 速率 低 于 1Mbit/s。CAN -C (高 速 CAN), TTP/C 和 FlexRay 
都 属于 这 一 类 。 它 们 必须 提供 高 度 可 靠 和 容错 的 通信 。 显 然 ，C 类 网 络 将 是 未 来 
线 控 转向 和 制 动 应 用 所 需要 的 。 有 关 汽 车 上衣 人 式 网 络 的 更 多 信息 ， 读 者 可 以 参考 
第 4 章 以 及 参考 文献 [25, 26], 


1.3.2 操作 系统 


OSEK/ VDX!” 是 一 个 多 任务 的 操作 系统 ， 正 在 已 成 为 欧洲 汽车 行业 标准 。 
该 标准 分 为 四 个 部 分 : OSEK/VDX OS 是 内 核 本身 的 规范 ; OSEK/VDX COM 关 
注 任 务 之 间 的 通信 [A ECU 的 内 部 或 外 部 (通信 ) ]; OSEK/VDX NM 解决 网 络 
管理 ; 最 后 ，OSEKZVDX OIL 是 支持 描述 所 有 应 用 程序 组 件 的 语言 。 某 些 OSEK 
有 和 针对 性 的 应 用 受到 苛刻 的 实时 约束 ， 所 以 OSEK 支持 的 应 用 对 象 必须 是 静态 
配置 。 

OSEK/VDX OS 系统 提供 对 目标 的 服务 ， 比 如 任务 (“基本 任务 ”"， 无 阻塞 
点 ;“ 扩 展 的 任务 ”， 可 以 包括 阻塞 点 ) 、 事 件 、 资 源 和 警报 。 它 提出 了 一 个 固定 
优先 级 调度 策略 (FP) ， 应 用 于 优先 的 或 没有 优先 的 任务 ， 并 结合 降低 的 优先 级 
上 限 协 议 的 版 本 (PCP)128,2%] ， 目 的 是 避免 由 于 专用 资源 访问 带 来 的 优先 级 反 转 
或 锁 死 。 任 务 间 的 同步 是 通过 单个 事件 和 报警 来 实现 的 。0SEK/VDX 规范 的 实 
施 必须 与 四 个 一 致 性 的 类 一 一 BCC1、BCC2、ECC1 和 ECC2 兼容 ， 这 四 个 类 是 根 
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据 支 持 的 任务 (只 是 基本 的 或 基本 /扩展 的 ) 、 每 个 优先 级 的 任务 数量 (只 有 一 
个 或 可 能 有 几 个 ) 和 重新 激活 计数 器 的 约束 (只 有 一 个 或 可 能 有 几 个 ) 来 规定 。 
BCC1 定义 了 有 限制 的 实施 ， 旨 在 减少 相应 的 内 存 占 用 空间 、 数 据 结 构 的 大 小 和 
管理 算法 的 复杂 性 。ECC2 规定 了 所 有 服务 的 实施 。MODISTARC 项 目 (基于 分 
布 式 架 构 的 OSEK/VDX 验证 的 方法 和 工具 )301 提 供 了 相关 测试 方法 和 工具 ,来 
评估 OSEKZVDX 实施 的 顺应 性 。 

为 了 描述 一 个 应 用 程序 的 配置 ，OSEK 联盟 提供 了 一 个 特定 的 语言 ， 称 为 
OSEK/VDX OIL (OSEK 实施 语言 )。 这 种 语言 允许 (针对 一 个 ECU) 几 个 应 用 
程序 配置 的 描述 ， 称 为 应 用 模式 。 例 如 ， 应 用 程序 的 配置 可 以 指定 为 正常 运行 模 
式 、 诊 断 模式 和 下 载 模式 。 

对 于 关键 应 用 程序 的 可 靠 性 与 容错 ， 通 常 通过 时 间 触 发 方法 来 取得 '"。 因 
此 ,定义 了 时 间 触 发 操作 系统 OSEKTimeL27] 。 它 支持 静态 和 时 间 和 触发 的 调度 ， 
并 提供 中 断 处 理 、 调 度 、 系 统 时 间 和 时 钟 同 步 、 本 地 消息 处 理 和 错误 检测 机 制 。 
由 于 这 些 服务 ， 在 OSEKTime 上 运行 的 应 用 程序 是 可 以 预见 的 。OSEKTime 与 
OSEK/VDX 兼容 ， 且 由 用 于 通信 服务 的 FTcom 层 来 完成 。 应 该 指出 的 是 ， 
AUTOSAR 基 本 软件 的 规范 (第 2 FE) 是 基于 OSEK 和 OSEKTime 服务 的 。OSEK/ 
VDX 标准 的 商业 实施 是 可 行 的 [*?] ， 且 也 开放 了 源码 版 本 [5332] 。 

Rubus 是 男 一 个 操作 系统 ， 它 专门 针对 汽车 行业 和 沃尔沃 建筑 设备 。 它 是 由 
Arcticus 系统 研发 的 [3] 。Rubus 操作 系统 由 三 个 部 分 组 成 : 红 核 一 一 管理 执行 离 
线 调度 时 间 和 触发 任务 ; 蓝 仁 一 一 专门 用 于 事件 触发 任务 的 执行 ; 绿 核 一 一 负责 外 
HB ABT, 2 OSEK/VDX 0S$， 任 务 的 配置 必须 定义 成 静态 离线 。 

对 于 多 媒体 和 远程 信息 处 理应 用 程序 来 说 ， 操 作 系 统 是 通用 的 ， 如 VxWorks 
(来 自 WinDriver) 或 Java 机 。“ 微 软 Windows 汽车 $.0” 扩 展 了 经 典 操 作 系 统 
Windows CE (具有 远程 信息 处 理 特色 ) ， 安 装 在 雪铁龙 赛 纳 汽车 和 宝马 7 RA 
车 全。 


1.3.3 中 间 件 


应 用 组 件 的 灵活 性 和 移植 性 需要 两 个 主要 特征 。 一 方面 ， 一 个 能 入 在 分 布 式 
平台 上 的 应 用 程序 是 基于 元 素 的 描述 、 元 素 之 间 互 动 类 型 的 语义 及 其 组 成 的 语 
Xs WTE, TARE ECU 上 的 配置 时 必须 指定 这 些 相 互 作用 。 男 一 方面 ， 
当 组 件 被 分 配 到 一 个 技术 平台 [操作 系统 、 通 信和 了 驱动 程序 和 协议 、 输 入 /输出 
(1/0) 的 驱动 程序 等 ] 时 ， 应 用 层面 所 需 的 性 能 一 一 主要 是 定时 和 可 靠 性 性 能 ， 
必须 得 到 满足 。 传 统 上 ， 这 些 功能 是 通过 中 间 件 的 规范 来 实现 的 。 首 先 ， 该 中 间 
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件 的 结构 (就 是 分 配 到 每 个 ECU 上 的 基本 软件 组 件 以 及 它们 互动 的 方式 ) 必须 
正式 确定 ; 其 次 ， 为 应 用 组 件 使 用 中 间 件 服务 (独立 于 它们 的 分 配 ) 的 接口 服 
务必 须 提供 。 在 过 去 的 十 年 中 ， 有 若干 个 项 目 赎 绕 这 一 目标 (例如 ,德国 的 
Titus AS) ， 由 戴 姆 勒 克 莱 斯 勒 在 1994 年 启动 ) 而 进行 。 这 些 项 目的 目标 是 
开发 一 个 基于 接口 的 方法 ， 它 类 似 于 ROOM 方法 55] ， 但 在 某 些 细 节 上 有 很 大 不 
同 ， 主 要 在 产生 “以 参与 者 为 导向 ”的 方法 上 不 同 ,但 对 ECU 软件 是 合适 的 。 
法 国 EEA 项 目 131 确 定 了 在 ECU 上 实施 的 软件 组 件 类 。 接 着 欧洲 ITEA EAST 
EEA 项 目 细 化 了 这 些 类 ， 并 提出 了 一 个 更 先进 的 ECU 架构 视角 [57] 。 由 欧盟 第 六 
个 框架 计划 支持 的 DECOS 项 目 任 务 ， 计 划 开 发 基于 架构 的 设计 方法 、 确 定 并 指 
定 相 关 的 现成 (COTS) 的 硬件 和 软件 组 件 ， 并 提供 认证 的 开发 工具 和 先进 的 混 
合 动力 控制 技术 。 这 个 项 目 瞄准 涉 及 软件 系统 可 靠 性 的 控制 系统 ， 特 别 是 在 航空 
电子 设备 〈 空 客 ) 和 汽车 行业 。 在 那 之 后 ，Volcano 项 目 集中 在 通信 服务 ， 并 通 
过 隐藏 的 底层 协议 提供 一 种 方法 〈 中 间 件 组 件 和 接口 服务 ) 来 支持 远 距 离 应 用 
组 件 之 间 的 信号 交换 。Volcano 瞄准 加 在 信号 交流 上 的 时 序 特性 [37.38] 。 

最 后 ，AUTOSAR 联盟 (详情 见 第 2 章 ) 标准 化 了 汽车 系统 常见 的 软件 基础 
设施 [31。 一 旦 它们 付 诸 实 施 ， 那 么 当 设 计 一 个 骨 入 式 电子 架构 时 它 将 带 来 有 意 
义 的 进步 ， 这 是 由 于 : @ 将 允许 在 架构 上 功能 的 可 移植 性 和 复 用 ; @) 将 允许 使 用 
硬件 COTS; @@ 在 同一 个 ECU 上 ， 能 够 整合 来 自 不 同 供应 商 的 功能 。 在 汽车 的 使 
用 寿命 期 间 ， 随 着 技术 的 发 展 ， 该 标准 将 有 利于 更 新 峙 入 式 软件 以 及 计算 机 
维护 。 

1.3.4 汽车 应 用 中 的 架构 描述 语言 


在 车 载 误 入 式 系统 设计 中 涉及 的 这 些 不 同 的 合作 伙伴 之 间 共 享 相同 的 建 模 语 
言 是 支持 有 效 协同 开发 过 程 的 一 种 手段 。 在 这 样 的 背景 下 ， 通 过 考虑 参与 者 的 不 
同 观点 以 及 确保 这 些 不 同 的 观点 之 间 的 一 致 性 ， 必 须 有 一 种 共同 的 语言 来 描述 在 
其 发 展 的 不 同 进度 (要求 规范 、 功 能 规格 、 设 计 、 实 施 、 调 谐 等 ) 。 它 也 需要 把 
藤 入 式 系 统 的 结构 反映 作为 一 个 组 件 (人 硬件 组 件 、 功 能 组 件 和 软件 组 件 ) 架构 。 
架构 描述 语言 (ADL) 的 概念 是 针对 大 型 应 用 软件 开发 的 ， 非 常 适合 于 这 些 目 
be) 。 通 过 互联 方式 形成 构造 的 组 件 ， 采 用 ADL 描述 系统 的 结构 。 这 些 描述 是 
没有 考虑 细节 的 ， 目 标 之 一 是 掌握 复杂 系统 的 结构 。 因 此 ， 用 于 规定 元 素 装配 的 
组 合 物 (相关 的 层次 ) 构成 了 基本 结构 。 对 于 重要 的 系统 ， 比 如 汽车 电气 系统 ， 
ADL 不 仅 要 支持 系统 的 功能 方面 的 规范 ， 而 且 还 要 支持 那些 额外 的 功能 (时序 
特性 、 可 靠 性 、 安 全 性 ) 和 设计 与 实施 之 间 的 其 他 转换 与 验证 设施 ， 同 时 还 要 
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保持 不 同 模型 之 间 的 一 致 性 。1991 年 ， 霍 尼 韦 尔 实验 室 指 定 了 ADL 和 专门 用 于 
航空 电子 系统 的 MetaHI41 。 这 种 语言 在 2001 年 被 SAE 官方 选 为 航空 电子 设备 
ADL (AADL) 标准 的 核心 吧 ] 。 对 于 特定 的 汽车 领域 ， 有 几 种 语言 (第 9 章 )。 
例如 ， ia EAST - ADL'3! 与 上 一 节 中 提 到 的 通用 参考 架构 紧密 相关 ， 被 指定 用 
于 欧洲 ITEA EAST - EEA 36°! ， 并 在 ATESST 项 目 中 得 到 扩展 !414 。EAST - 
ADL 的 目的 是 在 车 载 能 和 人 式 电子 系统 研发 的 每 一 个 阶段 ， 为 非 模棱两可 的 描述 
提供 支持 。 它 通过 五 个 抽象 层次 为 这 样 的 系统 的 建 模 提供 了 框架 ， 它 共 分 为 七 层 
(也 被 称 为 构件 ) ， 如 图 1.3 所 示 。 这 些 层 中 的 一 些 层 主要 关注 软件 开发 ， 而 其 
他 一 些 层 与 执行 平台 (ECU、 网 络 、 操 作 系统 、LO 驱动 程序 、 中 间 件 等 ) 有 联 
软件 运行 平台 
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图 1.3 EAST - ADL 的 抽象 层面 与 系统 视角 
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系 。 所 有 这 些 层 紧密 相连 ， 人 允许 在 研发 过 程 中 的 关联 的 不 同 实体 之 间 具 有 可 追溯 
性 。 除 了 结构 分 解 外 ，EAST - ADL 是 典型 的 软件 开发 或 建 模 方法 ，EAST - ADL 
也 有 跨 领 域 关 注 点 〈 如 需求 、 行 为 描述 与 验证 、 验 证 活动 ) 建 模 工 具 。 在 车 辆 
层面 ， 车 辆 特征 模型 描述 了 整个 用 户 可 见 的 特性 。 这 些 特征 的 案例 是 防 抱 死 制 动 
或 风 窗 玻璃 刊 水 器 。 在 分 析 层 面 的 功能 分 析 架 构 是 人 工 的 ， 它 代表 了 实现 特性 、 
行为 和 合作 的 功能 。 在 车 辆 特征 模型 和 功能 分 析 架 构 实 体 之 间 存 在 一 个 nn 到 的 
映射 ,也 就 是 一 个 或 多 个 功能 可 以 实现 一 个 或 几 个 特征 。 功 能 设计 架构 (设计 
层面 ) 建立 了 在 分 析 层 面 描述 的 分 解 或 细 化 功能 模型 ， 以 满足 考虑 分 配 、 效 率 、 
重用 、 供 应 商 关 注 等 的 约束 。 再 一 次 强调 ， 在 功能 设计 架构 实体 和 对 应 的 功能 分 
析 架 构 实 体 之 间 ， 存 在 一 个 n 到 之 间 的 映射 。 在 实施 层面 ， 功 能 实例 模型 的 作 
用 就 是 准备 把 软件 组 件 与 交换 的 信号 配置 给 操作 系统 的 任务 和 帧 。 事 实 上 ， 它 是 





























16 


HIE TOTEM MILER eee 


一 个 平 的 软件 结构 ， 其 中 功能 设计 架构 实体 已 经 实例 化 。 它 提供 了 一 个 抽象 的 软 
件 组 件 来 实施 。 为 了 建立 系统 实施 模型 ， 一 方面 EAST - ADL 提供 了 一 种 方式 来 
描述 硬件 平台 及 其 提供 的 服务 (操作 系统 、 协 议和 中 间 件 ); 另 一 方面 ， 支 持 规 
范 如 何 把 多 功能 实例 模型 分 布 到 平台 上 。 这 项 工作 的 完成 要 归功 于 其 他 三 个 人 工 
构件 。 硬 件 架构 包括 对 ECU 的 描述 ， 更 确切 地 说 ， 是 对 使 用 的 微 控 制 器 、 传 感 
器 与 执行 器 、 通 信 链 路 〈 串 行 链 路 、 网 络 ) 和 它们 连接 的 描述 。 平 台 模 型 定义 
了 操作 系统 和 /或 中 间 件 的 应 用 程序 编程 接口 (API) ， 特 别 是 提供 的 服务 (调度 
程序 、 帧 打包 、 内 存 管理 、LO 驱动 程序 、 诊 断 软 件 、 软 件 下 载 等 ) 。 最 后 ， 配 
置 模型 应 用 在 操作 层面 上 。 它 建立 了 通过 操作 系统 和 帧 管理 任务 的 模型 ， 且 这 个 
任务 反 过 来 由 协议 来 管理 。 这 是 功能 实例 模型 实体 映射 到 平台 模型 上 的 结果 。 请 
注意 ， 硬 件 体 系 架 构 和 平台 模型 的 规范 ， 是 同时 进行 功能 和 软件 规范 ， 甚 至 可 以 
在 分 配 模型 的 定义 过 程 中 实现 。 在 这 个 最 低 的 抽象 层面 上 ， 所 有 的 实现 细节 被 捕 
获 。 从 句法 和 语义 的 角度 来 看 ，EAST - ADL 语言 在 属于 不 同 层次 的 工件 之 间 及 
内 部 提供 了 一 致 性 。 这 使 得 基于 EAST - ADL 模型 有 一 个 强大 的 和 确定 的 支持 ， 
它 不 仅 针对 软件 组 件 的 实现 ， 同 样 也 针对 自动 化 构造 模型 ， 该 模型 适合 格式 验证 
和 确认 活动 [上 ,4%1 。 
































1.4 ”车 载 嵌 入 式 系 统 的 关键 安全 认证 问题 


一 些 领域 被 公认 为 是 至 关 重 要 的 ， 如 核电 厂 、 铁 路 和 航空 电子 设备 。 它 们 受 
到 严格 的 法 规约 束 ， 且 必须 获得 严格 的 安全 许可 认证 。 因 此 ， 规 范 方式 和 可 靠 性 
/安全 性 的 管理 以 及 认证 流程 扮演 着 一 个 重要 角色 。 由 于 以 计算 机 为 基础 的 系统 
(如 转向 和 制 动 ) 的 关键 功能 的 数量 变 得 越 来 越 多 ， 所 以 认证 问题 成 为 汽车 行业 
最 重要 的 问题 。 目 前 ， 一 些 建 议 已 经 在 研究 之 中 。 现 有 的 认证 标准 [4 、 
ARP4754148] 、RTCAZDO -178B!®] (用 于 航空 电子 设备 ) 或 EN50128[50] ( 适 
用 于 铁路 行业 ) ， 为 艇 入 式 系统 关键 安全 系统 的 开发 提供 了 严格 的 指导 方针 。 然 
而 ， 这 些 标准 很 难 用 于 车 载 基于 软件 的 系统 : 软件 分 区 (关键 / 非 关 键 ) 、 多 版 
本 、 软 件 组 件 的 不 相似 性 、 主 动 匈 余 的 使 用 和 硬件 元 余 。 在 汽车 领域 ,汽车 工业 
软件 可 靠 性 协会 (MISRA) 一 一 英国 汽车 产品 主要 参与 者 协会 ， 对 车 载 软件 的 
车 辆 安全 导向 的 研发 提出 了 一 个 松散 的 模型 :1 。 同 时 ， 用 于 电气 /电子 /可 编程 
电子 系统 的 通用 标准 TEC61508'°7! ， 对 于 支持 汽车 行业 的 认证 流程 来 说 ， 似 乎 是 
一 个 很 好 的 候选 方案 。 最 后 ， 一 个 即将 到 来 的 标准 正在 制定 中 ， 它 来 自 于 IEC, 
并 服务 于 具体 的 汽车 需求 。 
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在 2008 年 谋划 的 ISO 国际 标准 草案 ISO WD26262， 目 前 在 与 欧盟 、 美 国 和 
日 本 的 合作 下 取得 进展 [3,%*1。 下 一 步 工作 将 进入 由 ISO 协会 成 员 做 出 可 用 性 评 
fio ISO WD26262 标准 适用 于 功能 安全 ， 其 目的 是 最 大 限度 地 减少 由 一 个 可 能 
故障 系统 引起 的 危险 。ISO 草案 规定 : 功能 安全 要 保证 ，“……… 车 辆 功能 不 能 造 
成 任何 不 能 容忍 的 危害 状态 ， 这 个 危害 状态 来 自 于 规范 、 实 施 或 实现 的 错误 ， 来 
自 于 运行 期 失效 ,来 自 于 合理 可 预见 的 操作 错误 和 /或 合理 可 预见 的 误 用 。” 实 
际 上 ， 这 一 定义 关系 到 系统 的 整个 生命 周期 。 在 初步 设计 阶段 (特别 是 对 于 风 
念 分析 和 风险 评价 ) 、 在 开发 过 程 中 (硬件 和 软件 的 功能 安全 需求 分 配 和 系统 评 
价 ) 甚至 在 运行 服役 和 退役 期 间 (验证 在 安全 性 评价 和 人 危险 性 分 析 中 所 做 的 假 
设 仍然 存在 ) ， 安 全 控制 系统 必须 是 有 效 的。 一 旦 系统 的 功能 被 指定 ， 那 么 安全 
流程 就 决定 了 它 要 跨越 和 克服 (建立 的 ) 清单 上 所 列 驾 驶 情况 及 其 相应 故障 ， 
且 针对 它们 中 的 每 一 种 情况 ， 给 出 了 安全 功能 一 一 规定 要 避免 此 类 情况 的 发 生 以 
及 如 何在 安全 模式 下 保持 车 辆 。 每 一 种 这 些 情况 下 的 特征 是 其 出 现 的 频率 、 损 伤 
的 严重 性 及 驾驶 人 对 情况 的 可 挖 性。 该 系统 的 特点 是 根据 一 个 所 谓 的 汽车 安全 完 
整 性 等 级 (ASIL) 等 这 些 参数 来 确定 。 对 各 ASIL 相关 的 安全 性 能 定义 的 格式 目 
前 尚 不 知道 。 如 果 我 们 指 的 是 通用 的 标准 TECO1508'°! ， 那 么 每 个 SIL 是 由 两 种 
不 同 的 安全 属性 定义 : 功能 上 的 要 求 ， 即 没有 错误 的 信号 是 由 ECU 产生 ; 安全 
完整 性 的 属性 ， 即 危险 的 故障 发 生 概率 具有 每 小 时 不 超过 给 定 的 阔 值 (如 小 于 
10 飞 )。 贯 穿 整个 系统 (实现 一 个 功能 ) 的 研发 ， 必 须 验证 该 系统 确保 所 有 SIL 
所 需 的 属性 分 配 到 功能 上 上。 例如， 验证 活动 是 基于 故障 模式 及 影响 分 析 
(FMEA) 、 故 障 和 事件 树 分 析 等 ， 它 们 的 完成 借 力 于 几 种 技术 一 一 可 能 依赖 于 研 
发 阶段 (形式 化 方法 和 模型 检查 、 性 能 评估 、 可 调度 性 与 时 序 分 析 、 概 率 、 在 
环 人 硬件 和 在 环 系统 等 ) 。 























1.5 结论 


如 今 ， 在 我 们 的 日 常生 活 中 的 任何 活动 中 ， 我 们 可 能 使 用 的 产品 或 服务 的 行 
为 是 由 以 计算 机 为 基础 的 系统 来 控制 的 ， 这 样 的 系统 也 被 称 为 钦 入 式 系 统 。 这 种 
演变 也 影响 到 汽车 行业 。 若 干 种 计算 机 岁入 到 今天 的 车 辆 上 ， 确 保 以 车 辆 为 中 心 
的 功能 ， 如 发 动机 控制 、 辅 助 制 动 系统 等 ;以 及 以 顾客 为 中 心 的 功能 ， 比 如 娱 
乐 、 座 椅 控 制 等 。 本 章 展 示 了 为 什么 这 种 变化 是 不 可 避免 的 ， 并 概述 了 这 一 发 展 
的 主要 推动 力 。 第 一 ， 国 家 法 规 如 控制 废气 排放 或 强制 性 的 主动 安全 设备 (如 
安全 气 赛 ) 、 施 加 虑 入 式 复杂 控制 规律 ， 只 能 使 用 基于 计算 机 的 系统 来 实现 。 第 
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二 ， 客 户 要 求 舒 适 、 易 操作 和 安全 的 汽车 ,汽车 制造 商 的 目标 是 推出 创新 产品 。 
以 上 两 者 都 是 需要 昂贵 代价 的 。 今 天 的 软件 技术 的 进步 似乎 是 在 成 本 和 产品 开发 
之 间 的 一 个 很 好 的 折 中 ， 因 此 有 利于 推出 新 的 汽车 服务 。 为 了 识别 应 用 于 骨 入 式 
电子 系统 的 要 求 ， 我们 提出 了 根据 确定 的 功能 域 来 对 这 些 系统 分 类 。 这 些 要 求 影 
响 了 硬件 组 件 以 及 软件 开发 的 技术 解决 方案 。 最 后 ， 经 济 约束 推动 标准 释放 了 便 
件 / 软 件 的 独立 性 ， 因 而 带 来 了 一 个 高 效 的 嵌入 式 电子 架构 协同 开发 流程 (第 2 
章 ) 和 硬件 和 软件 实体 的 复 用 (第 8 章 ) 。 例 如 ， 目 前 CAN 在 ECU 之 间 的 互联 
中 发 挥 着 主要 作用 。 然 而 ， 由 于 ECU 之 间 的 交流 增加 ， 出 现 了 其 他 解决 方案 
(如 FlexRay 网 络 ， 集 成 了 部 署 在 层次 式 分 布 架构 上 的 机 电 一 体 化 系统 等 )。 山 入 
汽车 上 软件 的 日 益 增长 的 复杂 性 反映 出 很 好 厂商 已 经 掌握 了 开发 过 程 。 自 主 的 和 
自动 化 的 道路 车 辆 、 通 信和 车 辆 及 综合 的 交通 解决 方案 是 未 来 车 辆 的 关键 。 这 些 趋 
势 的 目标 是 控制 机 动车 交通 、 减 少 交 通 拥堵 和 环境 污染 ， 并 提高 安全 性 和 生活 质 
Ht (第 3 章 ) 。 在 这 样 的 情况 下 ， 车 辆 各 系统 的 研发 不 能 分 开 考 虑 ， 而 必须 被 视 
为 一 个 复杂 系统 的 一 部 分 。 此 外 ， 下 一 个 标准 0SI26262 和 那些 早已 用 于 道路 交 
通 的 标准 ， 为 结构 化 设计 方法 形成 了 另 一 个 有 力 的 论据 。 由 于 国际 化 行动 的 缘 
HX, HAR AUTOSAR 、 基 于 模型 的 研发 概念 (MBD ) 、 模 型 驱动 的 开发 (MDD) 
和 基于 组 件 的 软件 工程 (CBSE) 正在 渗透 到 汽车 系统 设计 者 的 文化 中 。 只 要 文 
持 这 些 概念 ， 当 适合 于 汽车 行业 的 工具 达到 了 一 个 更 高 成 熟 度 水 平时 ， 以 上 情形 
就 有 可 能 发 生 。 
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2% AUTOSAR (汽车 开放 式 
系统 染 构 ) 标准 的 应 用 





2.1 动机 


今天 ， 电 子 控制 单元 (ECU) 发 展 的 特点 是 由 以 下 几 个 驱动 因素 造成 的 ; 

。 更 多 的 服务 、 安 全 、 经 济 和 舒适 的 要 求 。 

。 由 于 更 多 ECU 复杂 性 的 增加 及 共享 软件 和 功能 的 增长 上 -5 。 

© ECU 硬件 和 网 络 [控制 器 局 域 网 络 (CAN)、 本 地 互联 网 络 (LIN)、 
FlexRay, MOST 等 ] 的 更 多 多 样 性 。 

由 于 以 上 这 些 驱动 因素 的 缘故 ， 所 以 ECU 之 间 的 交流 越 来 越 多 。 不 幸 的 是 ， 
ECU 网 络 是 面向 分 布 式 汽车 功能 ， 尽 管事 实 上 它 已 经 有 一 段 时间 的 发 展 , 但 它 
仍然 是 非 结 构 化 的 新 技术 。ECU (电子 控制 单元 ) 被 分 成 若干 子 域 (第 1 章 )， 
例如 动力 总 成 、 车 身 、 车 载 信息 处 理 和 底盘 等 。 在 汽车 开放 系统 架构 (AUTO- 
SAR) 诞生 之 前 ，ECU 网 络 既 没有 按照 这 些 子 域 边界 接口 进行 标准 化 ， 也 没有 
考虑 网 络 节点 之 间 的 相互 关系 进行 研发 。 

类 似 声明 可 以 用 于 研发 流程 。 不 同 ECU 软件 开发 过 程 的 发 展 ， 可 以 参照 单 
个 子 域 的 发 展 历史 ， 且 在 很 长 一 段 时 间 内 是 相当 不 同 的 。 在 汽车 工业 中 ， 大 多 数 
分 布 广泛 的 系统 开发 过 程 在 一 对 一 的 基础 上 把 功能 要 求 分 配给 软件 组 件 和 硬件 
组 件 。 


2.1.1 以 前 软件 结构 的 缺点 


软件 整体 共享 的 增加 导致 了 高 度 复杂 性 和 高 成 本 。 对 于 采用 非 标 准 研发 流程 
和 不 适当 网 络 来 说 ， 变 得 尤为 关键 。 此 外 ， 编 入 第 三 方 软件 将 使 得 企业 之 间 的 合 
作 更 加 复杂 。 

在 软件 架构 建 模 和 相应 的 集成 概念 中 ,合适 的 抽象 层面 仍然 未 见 。 该 体系 架 
构 并 不 能 反映 质量 要 求 的 影响 。 其 结果 是 ， 这 些 往往 是 保持 模糊 和 未 探索 的 。 随 
单一 解决 方案 研发 战略 发 展 的 架构 并 不 代表 长 期 的 解决 方案 。 
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更 复杂 的 是 ， 很 多 功能 是 分 布 在 多 个 ECU 上 的 ， 例 如 ， 在 高 端 车 辆 上 ， 用 
于 控制 指示 器 信号 灯 的 软件 分 布 在 多 达 八 个 ECU 上。 此外， 松散 并 排 布置 的 
ECU 不 能 实现 一 些 潜在 的 功能 ， 例 如 ， 线 控 要 求 非 常 紧密 和 安全 联 锁 跨 域 不 同 
域 的 ECUi51 。 随 着 即将 到 来 的 新 功能 ， 传 统 的 分 体式 的 汽车 功能 将 需要 越 来 越 
多 的 互联 互通 。 











2.1.2 设置 AUTOSAR 


在 这 样 的 背景 下 ， 领 头 的 汽车 公司 和 他 们 的 一 级 供应 商 在 2003 年 形成 了 伙 
伴 关系 。 这 个 伙伴 关系 建立 了 汽车 电子 全 行业 的 标准 一 AUTOSAR， 它 是 由 以 
下 10 个 “核心 成 员 ” 和 领导 : 宝马 集团 、 博 世 ， 大 陆 、 戴 姆 勒 - 克莱斯勒 公司 、 
福特 汽车 公司 、 通 用 汽车 、 标 致 雪铁龙 集团 、 西 门 子 威 迪 欧 、 丰 田 汽车 公司 和 大 
众 汽车 公司 。AUTOSAR 的 第 一 阶段 开始 于 2003 年 ， 结 束 于 2006 年 。 在 这 一 阶 
段 内 ，52 个 具备 “高 级 会 员 ” 身 份 的 供应 商 公 司 、 软 件 和 半导体 行业 企业 加 入 
了 这 个 标准 的 研发 ， 并 对 联盟 做 出 了 重大 贡献 。 除 了 这 些 高 级 会 员外 ， 还 有 
“WES i” “发 展 成 员 ” 和 “参与 者 ” ， 他 们 在 AUTOSAR 中 的 角色 随 他 们 的 贡献 
和 开发 而 变 (www. autosar. org) 。 

在 2006 年 末 ， 他 们 完成 了 AUTOSAR 的 第 一 阶段 ， 且 第 一 个 AUTOSAR 产品 
出 现在 市 场 上 。 

AUTOSAR 成 员 认 同 AUTOSAR 可 以 控制 电气 和 电子 组 件 的 复杂 性 ， 而 且 质 
量 和 盘 利 能 力 得 到 提高 。 汽 车 工程 的 未 来 就 存在 于 这 些 模 块 化 和 可 扩展 的 AU- 
TOSAR 软件 架构 中 。 












































2.1.3 AUTOSAR 的 主要 目标 


AUTOSAR 的 主要 原则 是 “在 标准 上 合作 ， 在 实施 中 竞争 ”因此 ,成 员 们 
建立 了 一 套 主要 目标 一 一 它们 也 需要 标准 化 ， 因 为 他 们 不 被 认为 是 竞争 力 的 主要 
因素 [7-10] 

。 可 用 性 和 安全 性 要 求 的 考虑 。 

。 元 余 激 活 。 

。 对 不 同 车 型 、 不 同 平台 变 体 的 可 扩展 性 。 

。 基本 功能 的 实施 和 标准 化 作为 一 个 行业 “标准 核心 ”的 解决 方案 。 

e F ECU 网 络 内 ， 功 能 可 以 从 一 个 ECU 移植 到 另 一 个 ECU。 

。 来自 多 个 供应 商 的 功能 模块 的 集成 。 

。 在 整个 产品 生命 周期 内 的 可 维护 性 。 
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。 增加 使 用 商业 现货 (COTS) 硬件 。 

。 软件 更 新 和 升级 车 辆 寿命 。 

在 所 有 层次 的 建 模 中 ， 采 用 面向 对 象 的 可 扩展 标记 语言 (XML) 类 模型 
(在 UML2. 0 中 指定 )。 从 解释 描述 语言 开始 〈 通 过 元 模型 层面 ) ， 你 必须 接触 一 
个 具体 的 用 户 模型 ， 它 可 以 实现 为 一 个 具体 的 XML 文件 。 

AUTOSAR 严格 的 基于 组 件 的 方法 的 最 重要 的 结果 (涉及 研发 流程 ) ， 就 是 
应 用 研发 从 较 低 水 平 的 集成 研发 中 分 离 出 来 【应 用 软件 (BSW) ] 。 这 两 个 部 分 
之 间 的 隔 板 (或 分 界线 ) 就 是 AUTOSAR 运行 环境 (RTE) ， 它 具体 实现 了 作为 
一 个 抽象 的 通信 原理 的 一 个 虚拟 功能 AUTOSAR 
总 线 的 概念 (VFB)。 这 个 概念 的 想 CS pS 
法 就 是 当 两 个 应 用 程序 一 起 交流 信号 
时 ， 应 用 程序 不 需要 知道 RTE 下 面 
数据 和 信和 号 的 具体 路 径 。 

这 样 简化 了 应 用 开发 者 的 问题 。 
事实 上 ， 他 或 她 不 需要 进一步 了 解 具 图 2.1 AUTOSAR 的 三 大 支柱 
体 架 构 ， 即 使 更 深入 的 了 解 的 界面 
(提供 除 RTE 之 外 的 应 用 程序 ) 仍然 是 不 可 或 缺 的 〈 图 2.1)。 























2.1.4 AUTOSAR 中 的 工作 方法 


AUTOSAR 被 建立 成 伙伴 关系 来 定义 一 个 行业 标准 。 该 联盟 试图 尽 可 能 多 地 
采用 现 有 的 解决 方案 ， 而 不 是 试 着 发 明 创造 新 的 解决 方案 。 在 大 多 数 情况 下 ， 标 
准 化 意味 着 在 几 个 方案 中 选择 一 项 。 当 然 ， 由 于 不 同 的 解决 方案 已 由 公司 实施 ， 
所 以 标准 化 意味 着 达成 妥协 。 如 果 可 能 的 话 ， 采 用 现 有 的 标准 ， 比 如 它们 是 : 
CAN, 、LIN、OSFEK， 等 等 。 在 其 他 情况 下 ， 如 果 不 能 直接 与 现 有 的 解决 方案 达成 
一 致 ， 那 么 就 要 建立 与 其 他 标准 化 组 织 的 合作 ， 例 如 ， 建 立 与 FlexRay 联盟 、 
ASAM - FIBEX® 、MOST 等 的 合作 。 

为 了 能 够 标准 化 ， 人 们 需要 一 个 最 小 的 稳定 性 和 对 正在 处 理 问 题 的 一 些 共 同 
的 认识 。 因 此 ，AUTOSAR 不 是 没有 任何 准备 就 开始 的 。 若 干 个 研究 项 目 要 事先 
进行 ， 特 别 是 这 里 提 到 的 项 目 : ITEA -EAST/EEAS 和 AEES 。 














汽车 与 测量 系统 标准 化 与 测量 系统 协会 的 现场 总 线 交 换 格式 。 
RASCH FRY, WL EDTA (EEA), 
法 国资 助 项 目 ，ITEA - EST/EEA 的 前 身 。 


OOO 
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2.2 AUTOSAR 的 支柱 : AUTOSAR 架构 


2.2.1 AUTOSAR 概念 


为 了 满足 前 面 章 节 和 参考 文献 [11] 中 讨论 的 要 求 ，AUTOSAR 联盟 定义 了 汽 
车 软件 和 软件 体系 架构 的 一 种 新 的 开发 方法 。 研 发 方法 专注 于 一 个 模型 驱动 的 开发 
风格 。 软 件 体系 架构 以 及 了 CU 硬件 和 网 络 的 拓扑 结构 ， 它 是 在 一 个 支持 从 架构 到 
集成 软件 开发 过 程 的 元 模型 中 定义 的 。 所 有 可 用 的 建 模 元 素 缘 由 “AUTOSAR 元 模 
型 ”规定 [2] 。 元 模型 是 根据 OMG Meta Object Facility 的 规则 来 定义 的 [3] 。 

设想 的 开发 方法 从 定义 软件 体系 架构 开始 。 一 个 示范 性 软件 体系 架构 可 以 在 
图 2. 2 中 看 到 。 
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> 
图 2.2 软件 组 件 与 连接 器 的 案例 

















框图 表示 软件 “组 件 ”。 在 框图 的 周边 ， 显 示 了 软件 组 件 的 通信 “端口 ”。 
一 个 向 内 指向 的 三 角 箭头 是 一 个 “所 需 的 端口 ”。 一 个 向 外 突出 的 三 角 箭头 是 一 
个 “设置 端口 ”。 所 需 的 端口 是 一 个 面向 数据 流 的 通信 数据 接收 器 ， 而 设置 端口 
是 发 送 者 。 设 置 端口 可 以 连接 其 他 软件 组 件 的 一 个 或 多 个 所 需 端口 。 为 了 能 够 连 
接 端口 ， 两 个 端口 的 接口 必须 是 兼容 的 。 

有 两 种 类 型 的 接口 :;“ 发 送 /接收 接口 ”和 “客户 端 /服务 器 接口 ”。 发 送 /接收 
接口 支持 基于 信息 的 通信 ， 而 客户 端 / 服 务 器 接口 支持 远程 过 程 调用 方式 的 通信 。 

发 送 器 /接收 器 接口 由 一 列 “数据 元 素 ”组 成 。 每 个 数据 元 素 都 有 一 个 名 称 
和 数据 类 型 。 

客户 端 /服务 器 接口 由 一 列 “ 操 作 ” 组 成 。 每 个 操作 都 有 一 个 签名 ， 它 包括 
一 个 名 称 和 一 个 “参数 ”列表 。 每 个 参数 由 名 称 、 类 型 和 方向 来 描述 ， 它 既 可 
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以 是 进来 、 出 去 ， 也 可 以 是 进 - 出 。 所 有 与 建 模 元 素 相 关 的 软件 组 件 的 细节 在 参 
考 文献 [14] 中 描述 。 

软件 架构 的 定义 是 在 不 考虑 硬件 上 运行 的 软件 组 件 情 况 下 进行 的 。 这 意味 着 
两 个 软件 组 件 可 以 运行 在 相同 或 不 同 的 ECU 上。 那么 组 件 之 间 的 通信 和 既 可 以 是 
内 部 的 ECU 通信 ， 也 可 以 是 跨 ECU 通信 。 为 了 抽象 化 这 一 差异 ，AUTOSAR WÈ 
出 了 VFB。VFB 可 以 看 成 连接 所 有 组 件 的 一 个 软件 总 线 。VFB 软件 总 线 是 基于 
类 似 于 公共 对 象 请 求 代 理 架 构 (CORBA) 的 想法 [5]， 

硬件 架构 的 建 模 与 软件 架构 的 定义 并 行 。AUTOSAR 允许 建立 车 辆 网 络 以 及 
ECU 硬件 拓扑 结构 模型 。 这 种 拓扑 结构 的 一 个 案例 可 以 在 图 2. 3 中 看 到 。 这 个 
案例 显示 了 两 个 ECU 连接 到 动力 总 成 CAN (PT - CAN) E, 一 个 ECU 连接 到 底 
#£ CAN (C-CAN)。 这 两 个 CAN 总 线 通过 网 关连 接 。 


pan ova | 









































图 2.3 网 络 拓扑 案例 


一 旦 定义 了 软件 架构 和 网 络 拓 扑 结 构 ， 那 么 软件 实体 就 可 以 映射 到 硬件 实体 
上 。 软 件 组 件 模 板 标准 化 了 描述 软件 实体 的 格式 ， 它 是 AUTOSAR 元 模型 一 个 非 
常 重要 的 部 分 。 它 定义 了 如 何 规定 软件 架构 。 


2.2.2 分 层 的 软件 架构 


AUTOSAR 定义 了 针对 ECU 的 软件 架构 。 这 种 架构 是 以 分 层 的 方式 来 定义 。 
该 架构 的 最 底层 一 一 微 控制 器 抽象 层 ( MCAL)， 负责 提供 典型 器 件 的 抽象 。 
MCAL 模块 可 以 当做 设备 驱动 程序 。 存 在 四 组 MCAL 模块 : 单片机 驱动 程序 、 内 
存 驱 动 程序 、 通 信 驱 动 程序 和 输入 /输出 (1/0) 驱动 程序 。 通 信 了 驱动 程序 包括 
CAN, LIN 和 FlexRay 总 线 的 驱动 程序 。1/O 驱动 程序 包括 脉冲 宽度 调制 
(PWM) 驱动 程序 、 模 数 转换 器 (ADC) 和 数字 IO (DIO), Æ MCAL EM, 
有 ECU 抽象 层 (ECU - AL), 该 ECU - AL 提供 除 设备 驱动 程序 之 外 的 附加 服 
务 。 除 了 ECU - AL 之 外 ， 服 务 层 提供 额外 的 服务 ， 如 非 冲 突 的 随机 存 取 存储 器 
(NVRAM) 管理 融和 诊断 事件 管理 器 (DEM), AUTOSAR 操作 系统 (AUTOSAR 
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OS) 也 是 服务 层 的 一 部 分 。 为 了 管理 ，AUTOSAR OS 必须 能 够 访问 和 硬件， 例如 
针对 时 间 片 段 调度 的 计时 器 。 这 就 是 为 什么 允许 服务 层 访 问 硬件 。 这 是 显示 在 图 
2.4 上 的 翻转 的 “L” 图 。 除 了 分 层 架 构 之 外 ， 还 存在 所 谓 的 复杂 的 设备 驱动 程 
序 ， 并 被 允许 直接 访问 硬件 。 复 杂 的 设备 驱动 程序 的 目标 是 用 尚未 标准 化 的 、 新 
的 设备 驱动 程序 ， 来 扩展 架构 的 标准 化 部 分 。 

2.1.3 节 提 到 了 严格 区 分 BSW 和 应 用 软件 (ASW)。 这 种 区 分 是 由 RTE Jz 
支持 的 。RTE 对 ASW 屏蔽 了 BSW 的 特征 ， 并 允许 访问 BSW 服务 ， 如 以 一 个 明 
确定 义 的 方式 访问 NVRAM 管理 器 。RTE 的 另 一 个 重要 责任 是 提供 通信 服务 。 
RTE 可 以 看 做 是 一 个 中 间 件 ， 它 是 VFB 概念 的 局 部 实现 。 

分 层 软 件 架 构 的 更 多 细节 在 图 2.4 中 描述 。 


应 用 软件 
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图 2.4 ECU 软件 架构 


2.3 AUTOSAR 标准 化 的 主要 领域 : BSW 和 RTE 


2.3.1 BSW 


AUTOSAR 标准 定义 了 一 组 固定 的 BSW 模块。 正如 上 一 节 中 所 描述 的 ， 这 些 
模块 被 组 织 在 一 个 分 层 的 体系 结构 之 中 。BSW 模块 组 包括 设备 驱动 程序 、 通 信 
和 IO 驱动 器 、 像 NVRAM 管理 器 或 DEM 的 AUTOSAR 服务 ， 当 然 还 包括 AU- 
TOSAR OS (图 2.4)。 总 的 来 说 ，AUTOSAR 指定 了 63 个 BSW kL] 

这 些 BSW 模块 中 的 每 一 个 都 有 一 个 明确 定义 的 接口 ， 它 可 以 被 其 他 模块 或 
RTE 使 用 。 再 一 次 指出 ,在 RTE 之 上 的 软件 组 件 是 不 可 能 直接 访问 这 些 接口 的 。 
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一 个 接口 基本 上 由 一 组 应 用 程序 编程 接口 (API 功能 、 一 组 数据 类 型 和 可 能 
API 功能 返回 的 错误 代码 组 成 。 除 了 接口 之 外 ，AUTOSAR 还 为 BSW 模块 定义 了 
一 组 配置 参数 。 这 些 参数 被 分 为 预 编译 、 链 接 时 间 和 编译 后 步 又 参数 一 一 反映 相 
应 的 配置 发 生 的 精确 时 间 点 。 


2.3.2 BSW 的 一 致 性 的 类 


在 一 步 之 内 从 现 有 的 网 络 平台 切换 到 AUTOSAR, 将 是 一 项 巨大 的 工作 ， 
为 这 将 意味 着 执行 所 有 63 个 BSW 模块 、 适 应 现 有 的 接口 ， 并 让 ASW 适应 AU- 
TOSAR 接口 。 此 外 ,在 迁移 (调整 ， 期 间 ， 预 计 在 下 一 代 汽 车 系统 上 将 出 现 
AUTOSAR, JẸ AUTOSAR 软件 和 ECU 的 混合 体 。 

为 了 支持 和 缓解 这 种 迁移 (A), AUTOSAR 定义 了 BSW 的 三 个 实施 一 致 
性 的 类 (ICCs)。 其 基本 想法 是 把 BSW 模块 集合 起 来 ， 这 些 集群 之 间 的 接口 必 
须 符 合 AUTOSAR， 且 没有 必要 把 每 个 BSW 模块 当做 它 自 己 的 单元 来 实施 。 请 注 
意 ，ICC 只 影响 BSW 和 RTE。 在 RTE 之 外 的 软件 组 件 接口 不 受 影 响 。 因 此 ， 一 
个 ASW 组 件 可 以 总 是 在 没有 改变 接口 或 实施 的 情况 下 采用 ， 而 不 管 底层 RTE 和 
BSW 的 ICC。 

2.3.2.1 ICC1 

ICC1 是 “最 低 ” 实 施 一 致 性 类 。 在 这 里 ，RTE 和 整个 BSW 放 在 了 同一 
个 集群 中 。RTE 和 COM 组 件 之 间 的 接口 和 与 总 线 的 接口 必须 符合 AUTO- 
SAR。 在 这 种 情况 下 ，RTE 和 BSW 之 间 的 接口 并 不 标准 。 因 此 ，RTE 的 实 
施 是 专 有 的 。 

SRI, BSW 和 RTE 的 ICC1 实施 还 必须 提供 按照 AUTOSAR 标准 化 的 功能 
行为 ， 例 如 ，ASW 组 件 运行 实体 的 调度 ( 见 2.3.3.1 节 ),， 或 者 ASW 组 件 之 间 
的 通信 必须 与 BSW 模块 没有 被 集群 一 样 。 此 外 ，ASW 组 件 期 竺 有 BSW 的 某 些 
功能 ， 尤 其 是 像 NVRAM 管理 器 或 DEM 那样 的 AUTOSAR 服务 。 虽 然 不 一 定 以 
独立 的 BSW 模块 形式 提供 ， 但 是 此 功能 必须 提供 。 

ICC1 实施 通常 是 从 现 有 的 专 有 实施 迁移 到 AUTOSAR 的 第 一 步 。 

2.3.2.2 ICC2 

在 ICC2 中 ， 逻 辑 上 相关 的 模块 被 打包 成 独立 的 集群 ， 例 如 ， 所 有 的 与 通信 
相关 的 模块 组 成 一 个 集群 。RTE 是 一 个 它 自身 的 集群 。 集 群 之 间 的 接口 、ASW 
组 件 接口 和 总 线 接口 必须 符合 AUTOSAR, 

ICC2 可 以 集成 来 自 不 同 供应 商 的 BSW 集群 ， 例 如 ， 可 以 使 用 来 自 供应 商 A 
的 通信 栈 和 供应 商 B 的 操作 系统 。 
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2.3.2.3 ICC3 
ICC3 实现 “最 高 ”等 级 的 AUTOSAR 兼容 性 。 在 这 里 ， 所 有 由 AUTOSAR 定 
义 的 BSW 模块 用 它们 相应 的 接口 来 展示 。 这 里 不 存在 聚 类 模块 。 


2.3.3 RTE 


2.3.3.1 RTE 特征 
正如 2.2.2 节 所 述 , E AUTOSAR 架构 中 ， 基 本 上 有 两 个 独立 部 分 一 一 一 个 
在 RTE 上 面 ， 另 一 个 在 RITE 下 面 (图 2.5)。 在 RTE 的 下 面部 分 中 ，BSW 模块 
可 以 随意 调用 或 使 用 任何 其 他 模块 或 API 功能 ， 例 如 ， 某 些 操 作 系 统 直接 服务 。 
在 RTE 的 上 面部 分 ，ASW 组 件 通过 端口 相互 通信 。 不 允许 有 其 他 的 通信 方式 
(如 通过 人 允许 共享 全 局 变量 ) 。 一 个 ASW 组 件 也 不 允许 直接 使 用 任何 BSW 模块 。 
此 外 ，ASW 组 件 的 动态 行为 的 描述 和 实施 ， 是 通过 “可 运行 的 实体 ”来 完成 的 。 
一 个 可 运行 的 实体 是 一 个 ASW 组 件 的 一 个 可 调度 单元 。 基 本 上 ， 它 是 一 个 序列 
的 指令 ， 可 以 由 RTE 开始 一 一 作为 RTE 触发 事件 的 结果 。 例 如 当 新 的 数据 到 达 
一 个 接口 时 、 当 一 个 计时 器 到 期 时 或 者 当 一 个 服务 器 调用 返回 时 ， 这 样 一 个 
RTE 事件 会 触发 。 可 运行 的 概念 实体 及 其 激活 在 参考 文献 [14，17] 中 描述 。 
可 运行 的 cll 
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RTE 的 任务 是 将 这 两 个 部 分 粘 合 在 一 起 。“ 胶 水 ”这 个 词 在 这 里 的 上 下 文中 
是 非常 重要 的 。 应 该 明确 的 是 RTE 不 仅仅 是 ASW 与 BSW 之 间 的 一 个 抽象 层 。 
在 非 AUTOSAR 应 用 程序 中 ，ASW 通常 直接 采用 操作 系统 服务 (如 激活 一 个 任 
务 ) ， 或 直接 发 送 或 接收 CAN 信息 。 在 AUTOSAR 中 ， 这 是 不 可 能 的 。ASW 组 件 
根本 不 知道 操作 系统 任务 的 概念 或 CAN 信息。 同样， 没有 这 些 概念 和 AUTOSAR 
之 间 的 一 对 一 上 映射。 因此， 它 将 不 足以 创建 一 个 将 现 有 的 专 有 应 用 程序 的 包装 ， 
以 使 其 与 AUTOSAR 一 致 。 相 反 ， 整 个 内 部 行为 必须 适应 AUTOSAR 范式 。 

因此 ，RTE 采用 BSW 是 为 了 通过 指定 的 接口 和 运行 的 实体 来 实现 ASW 组 件 
的 特性 。 这 包括 两 项 主要 任务 : 实现 通信 和 实现 运行 实体 的 激活 。 

对 于 通信 任务 而 言 ，RTE 提供 了 一 组 API， 它 们 用 于 发 送 或 接收 数据 元 素 ， 
及 在 客户 端 /服务 器 通信 情况 中 的 远程 服务 器 调用 。 可 运行 实体 映射 到 操作 系统 
任务 上 (2.4.5 节 )。 因 此 ,为 了 激活 运行 实体 ( 比如， 可 运行 实体 需要 的 数据 
已 经 到 达 ) ，RTE 通常 激活 相应 的 可 运行 的 实体 映射 到 的 操作 系统 的 任务 。 但 在 
客户 端 /服务 器 操作 中 ， 也 有 可 能 以 直接 功能 调用 的 形式 ， 调 用 一 个 可 运行 的 














实体 。 
RTE 进而 负责 通信 期 间 数 据 的 一 致 性 ， 也 就 是 在 接收 和 发 送信 号 时 ， 数 据 
不 会 改变 。 


2.3.3.2 生成 RTE 

生成 RTE 为 了 确保 它 适合 一 个 给 定 的 ECU 和 系统 配置 。 这 意味 着 一 个 RTE 
的 实现 ， 总 是 只 提供 给 定 配置 所 需 的 功能 而 已 。 生 成 过 程 分 为 两 个 阶段 (2. 4.5 
节 ): 

。 合约 阶段 : 这 一 阶段 是 ECU 独立 的 。 它 提供 了 给 定 的 ASW 组 件 和 RTE 
之 间 的 合约 ， 也 就 是 说 ，ASW 可 以 用 于 对 付 API 组 件 。 这 个 阶段 的 输入 就 是 使 
用 所 有 接口 和 运行 的 实体 来 描述 ASW 组 件 。 结 果 就 是 具体 的 ASW 组 件 头 文件 ， 
它 可 以 包含 在 对 应 的 源 代 码 文件 中 。 在 这 个 头 文件 中 ， 所 有 可 以 被 ASW 组 件 使 
用 的 RTE API 函数 要 进行 声明 。 它 还 要 声明 必要 的 数据 类 型 和 ASW 组 件 所 需 的 
结构 。 人 允许 的 API 函数 组 取决 于 给 定 的 ASW 组 件 的 端口 。 例 如 ， 如 果 一 个 ASW 
组 件 具 有 一 个 数据 元 素 d 的 发 送 端口 p， 那 么 在 合约 阶段 将 生成 API 函数 Rte_ 
Send_ p_ do ASW 组 件 使 用 该 函数 通过 端口 p， 发 送 数 据 元 素 do 

。 生成 阶段 :在 这 个 阶段 ， 具体 代码 生成 在 一 个 给 定 的 ECU 上 执行 。 这 个 
阶段 的 输入 是 ECU 配置 描述 ， 其 中 特别 包括 运行 实体 到 操作 系统 任务 或 到 通信 
和 矩阵 的 映射 。 它 们 和 ASW 组 件 头 文件 一 起 ， 在 合约 阶段 创建 ， 且 所 有 必要 的 
BSW 代码 、 生 成 的 代码 之 后 可 以 编译 成 给 定 ECU 可 执行 的 文件 。 

请 注意 ， 还 可 以 提供 一 个 只 以 对 象 代码 形式 表示 的 ASW 组 件 ， 例 如 这 是 为 
了 保护 知识 产权 。 所 有 必要 的 信息 是 ECU 独立 的 ， 且 在 合约 阶段 早已 可 用 。 使 
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用 ASW 的 特定 组 件 的 头 文件 ， 可 以 编译 给 定 ASW 组 件 的 源 代 码 。 接 着 ， 生 成 的 
目标 代码 和 头 文件 一 起 打包 交付 给 客户 。 

然而 ,目标 代码 对 于 优化 没有 什么 潜力 ， 例 如 某 些 孔 数 不 能 按照 C 宏 语言 
来 实施 。 而 如 果 ASW 组 件 的 源 代码 可 行 的 话 ， 那 么 这 将 是 有 可 能 的 。 


2.4 AUTOSAR 标准 化 的 主要 领域 : 方法 和 模板 





2.4.1 方法 的 主要 目标 


AUTOSAR 是 追求 精确 的 技术 目标 来 管理 未 来 的 软件 架构 。 其 中 的 一 些 目 
标 为 : 

。 在 网 络 内 部 ， 功 能 从 一 个 ECU 中 移植 到 另 一 个 ECU 上 。 

。 集成 来 自 多 个 供应 商 的 功能 模块 。 

。 复 用 经 过 验证 的 解决 方案 (硬件 和 软件 ) 。 

为 了 达到 这 些 目标 ，AUTOSAR 引入 了 由 元 模型 定义 的 一 个 标准 化 架构 。 这 
将 是 使 用 AUTOSAR 标准 开发 产品 的 互 操作 性 的 基础 ， 也 是 根据 和 符合 AUTO- 
SAR 标准 的 研发 方法 的 基础 。 





2.4.2 方法 描述 


AUTOSAR 的 方法 描述 了 在 软件 过 程 工程 元 模型 (SPEM) 符号 中 ， 活 动 对 
工作 产品 的 依赖 关系 。 它 关注 工作 流程 ， 而 不 是 指定 一 个 完整 的 流程 或 业务 的 互 
动 。 它 允许 完整 集成 到 AUTOSAR 元 模型 中 的 一 致 性 。AUTOSAR 的 元 模型 定义 
了 如 何 描述 事物 ，AUTOSAR 方法 定义 了 何 时 将 这 些 描 述 用 在 指定 活动 中 (图 
2.6)。 


提 皮 指定 ECU 
的 信息 









运行 系统 
运行 ECU 
—> | XML 
ARRAS ECU 可 运行 的 
的 ECU 提取 系统 配置 ECU 
描述 


图 2.6 AUTOSAR 方法 介绍 
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2.4.3 AUTOSAR 模型 、 模 板 及 交换 格式 


AUTOSAR 是 基于 模型 的 。AUTOSAR 系统 中 的 一 切 都 需要 采用 标准 化 的 模 
型 元 素来 描述 。 模 型 并 不 固定 。 信 息 的 添加 是 在 连续 步骤 中 由 不 同 的 角色 执行 和 
在 迭代 过 程 中 由 相同 的 角色 执行 。 

通过 使 用 XML 标准 ， 模 型 系列 化 成 适用 于 交换 和 一 致 性 的 标准 化 XML 
格式 。 

源 代 码 是 直接 基于 模型 生成 的 (ASW 组 件 API, RTE 中 间 件 和 BSW 配置 , 
如 图 2.7 所 示 。 所 以 ，AUTOSAR 模型 不 仅仅 是 电子 /电气 系统 的 文档 ， 而 且 也 了 驱 
动 软件 的 开发 。 









*。 软 件 组 件 模 板 
“ECU 资源 模板 

e RAIRA 

° ECU 配置 模板 

* SET RR a 
"通用 结构 模板 





图 2.7 AUTOSAR 信息 分 类 介绍 


2.4.4 系统 配置 


首先 ， 系 统 配 置 的 输入 必须 定义 ， 如 图 2. 8 所 示 。 它 是 通过 选择 ASW 组 件 
和 硬件 ， 并 通过 识别 整个 系统 约束 来 完成 的 。 这 需要 系统 级 工程 决策 一 一 这 意味 
着 在 实践 中 ， 应 填写 适当 的 模板 。 下 一 步 就 资源 和 时 序 要 求 而 言 ， 活 动 配置 系统 
主要 是 把 ASW 组 件 映 射 到 ECU 上 。 在 配置 系统 活动 过 程 中 ， 这 是 最 重要 的 决策 
之 一 。 活 动 配置 系统 的 输出 : 

。 系统 配置 描述 包括 所 有 系统 信息 (有 映射 、 拓 扑 等 ) 。 

e 每 个 ASW 组 件 分 配 到 一 个 ECU 上 。 

o 系统 通信 和 矩阵 精确 描述 使 用 的 网 络 /媒体 的 特性 。 

系统 配置 生成 器 支持 所 有 这 些 操作 。 当 然 ， 由 于 系统 设计 可 以 发 展 、 可 以 在 
项 目 开发 过 程 中 改进 (新 ASW 组 件 、 新 网 络 、 新 ECU 等 ) ， 所 以 这 些 不 同 的 步 
邓 是 迭代 的 。 
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四 
lt Np a. ASM 
描述 
Pas = NE 

I 

XML | pon 
/ | 

ASW 组 件 
实施 集合 项: 


图 2.8 系统 配置 概述 





2.4.5 ECU 配置 


活动 “提取 指定 ECU 信息 ”简单 地 从 一 个 特定 ECU 所 需要 的 系统 配置 描述 
中 提取 信息 ， 到 一 个 ECU 系统 配置 提取 文件 中 。 下 一 个 活动 , “ECU 配置 "， 要 
实现 添加 所 有 实施 需要 的 必要 信息 ， 像 任务 、 调 度 、 主 要 BSW 模块 列表 、 可 运 
行 的 作业 ， 到 BSW 模块 任务 和 配置 中 。 这 个 活动 是 一 个 重要 的 设计 步骤， 因为 
它 应 该 解决 基于 指定 供应 商 和 通用 参数 的 所 有 配置 参数 、BSW 模块 描述 和 在 
ECU 上 实施 、 可 用 的 ASW 组 件 的 集合 。 该 结果 包含 在 ECU 配置 描述 中 。 由 于 这 
一 步骤 的 高 度 复杂 性 ， 所 以 它 必 须 由 不 同 工 具 相 关 的 编辑 程序 支持 。 为 了 自动 生 
成 部 分 RTE, OS 和 COM 的 配置 代码 ， 应 该 使 用 特定 的 生成 器 。 

生成 可 执行 的 活动 主要 是 作为 使 用 编译 和 链接 阶段 的 设计 代码 的 当前 可 执行 
的 生成 。 

阶段 “ECU 工作 ”也 是 迭代 的 ， 它 取决 于 集成 到 ECU 的 新 的 ASW 组 件 或 
新 的 网 络 约束 。 在 系统 和 ECU 活动 之 间 存 在 强烈 的 联系 ， 在 不 同 的 参与 者 之 间 
存在 大 量 的 交流 。 但 AUTOSAR 方法 没有 定义 谁 正 在 做 、 做 什么 和 什么 时 候 做 ， 
如 图 2. 9 所 示 。 


2.4.6 实施 现 有 开发 流程 与 调节 工具 


AUTOSAR 定义 了 一 套 标 准 的 数据 类 型 、 接 口 、 组 件 类 型 和 用 模型 指定 的 
BSW 参数 。 在 实施 的 软件 开发 生命 周期 内 ， 在 供应 商 和 客户 之 间 ， 这 些 模型 将 
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系统 配置 ”提取 指定 系统 配置 MECU ”ECU 配置 ÆRE 可 运行 的 
描述 ECU 的 信息 ”的 ECU 提取 描述 行 的 ECU ECU 








图 2.9 运行 ECU 


被 交换 和 复 用 。 组 织 和 不 同 角色 与 任务 共享 将 被 确定 ， 且 在 原始 设备 制造 商 
(OEM) 和 使 用 可 互 操作 的 工具 来 操纵 这 些 模型 的 它们 的 供应 商 之 间 签 订 合 同 。 

为 了 受益 于 AUTOSAR ， 方 法 需要 应 用 于 开发 过 程 。 软 件 架 构 需 要 映射 到 
AUTOSAR 元 模型 上 。 此 前 “文书 工作 ”规范 将 被 模型 取而代之 ， 它 通过 代码 生 
成 直接 驱动 软件 开发 。 为 了 在 模型 上 持续 工作 ， 方 法 需要 一 个 专用 的 AUTOSAR 
TH, 

可 以 得 出 的 结论 是 ，AUTOSAR 的 应 用 发 展 需要 上 映射， 并且 现 有 的 开发 过 程 
要 适应 AUTOSAR 方法 。 


2.5 ”实践 中 的 AUTOSAR: 一致 性 测试 


如 果 一 个 OEM 买 了 一 套 AUTOSAR 软件 ， 那 么 他 或 她 想 要 确保 该 软件 实施 
时 要 符合 标准 定义 的 规范 。 只 有 这 个 得 到 保证 ，AUTOSAR 的 目标 才 可 以 实现 ， 
也 就 是 说 ,来 自 不 同 供应 商 的 软件 在 一 辆 具体 车 辆 的 ECU 系统 上 一 起 和 运行。 此 
外 ， 在 整个 系统 集成 之 前 ， 这 个 在 不 同 的 配置 和 版 本 中 必须 启用 (图 2. 10)。 


AUTOSAR 标 准 
规 





产品 供应 商 1 产品 供应 商 2 


图 2. 10 一 致 性 测试 
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要 实现 这 些 目标 ，AUTOSAR 定义 了 一 致 性 测试 品 。 一 致 性 测试 是 一 种 针对 
规范 需求 来 实施 的 一 致 性 试验 。 这 是 一 个 不 同 供应 高 软件 模块 互 操作 性 的 先决 条 
件 。 在 一 致 性 测试 中 ， 被 测 系统 (SUT) 的 测试 人 员 不 是 实施 者 。 这 可 以 防止 错 
误 ， 并 提高 测试 的 质量 。 测 试 机 构 (CTA) 分 析 了 测试 结果 的 一 致 性 ， 且 最 后 证 
明了 SUT 的 一 致 性 。 

为 了 确保 实施 者 的 知识 产权 ， 测 试 人 员 把 SUT 当做 一 个 黑 盒 来 检查 。 测 试 
只 需要 对 象 代码 。 这 人 允许 实施 者 隐藏 实施 细节 。 

在 第 一 阶段 ，AUTOSAR BSW 关注 BSW 模块 在 不 同 细节 层面 与 实施 一 致 性 
类 (ICC， 见 2.3.2.1 节 ~2.3.2.3 市 ) 中 的 一 致 性 测试 。 随 后 ， 原 理 将 扩展 到 
包括 ASW 组 件 。 在 下 面 ， 我 们 将 仅 考 虑 BSW， 也 就 是 说 SUT 总 是 BSW 模块 ， 
或 是 BSW 模块 的 集群 。 

测试 的 目的 是 检查 模块 和 集群 在 基本 功能 上 的 可 连接 性 ， 并 检查 根据 一 组 指 
定 的 、 有 效 参 数值 来 配置 模块 或 集群 的 可 行 性 。 这 并 不 包括 正确 性 的 一 个 详尽 的 
功能 测试 。 这 样 的 测试 和 集成 测试 ， 必 须 单 独 操作 。 再 次 强调 : 互 操作 性 的 重点 
在 一 致 性 测试 ， 而 不 是 在 功能 的 正确 性 。 

如 果 模 块 和 集群 测试 是 一 致 的 ， 那 么 这 就 增加 了 模块 集成 在 一 个 架构 内 的 
能 力 。 模 块 和 集群 之 间 的 互 操作 性 得 到 支持 ， 且 可 以 移植 和 复 用 现 有 的 解决 
方案 

为 了 达到 这 些 目 标 ，AUTOSAR 标准 必须 提供 一 套 一 致 性 的 规范 一 一 针 
对 与 SUT 相关 的 BSW 模块 。 这 包含 相关 的 BSW 模块 的 需求 文档 、BSW 模块 
软件 规范 和 一 致 性 测试 规范 。 基 于 这 些 文件 ， 下面 的 步骤 是 用 于 执行 一 致 性 
测试 : 

(1) AUTOSAR 联盟 提供 所 需 的 文件 (图 2. 10) 。 

(2) CTA 或 产品 供应 商 提供 了 一 个 可 执行 的 一 致 性 测试 套件 。 

(3) 产品 供应 商 执行 测试 ， 也 就 是 针对 SUT 运行 一 致 性 测试 套件 。 

(4) 最 后 ，CTA 批准 测试 结 

总 的 来 说 ， _ 致 性 测试 的 流程 使 得 在 产品 供应 商 和 购买 产品 的 方 一 一 即 
OEM 或 一 级 供应 商 之 间 的 双边 关系 具有 较 大 的 灵活 性 。 供 应 商 和 买方 可 以 就 谁 
执行 测试 、 谁 批准 这 样 一 个 测试 结果 达成 一 致 。 如 果 一 个 产品 供应 商 看 到 自己 的 
优势 ， 那 么 他 或 她 可 以 执行 。 在 这 种 情况 下 ， 他 或 她 可 以 和 运行 完整 的 内 部 一 致 性 
测试 流程 。 另 一 方面 ， 买 方 可 能 想 要 一 个 特定 的 CTA。 

但 是 ， 这 种 灵活 性 并 不 意味 着 来 自 不 同 的 路 径 的 结果 质量 上 存在 差异 性 。 通 
过 认证 CTA 以 及 打算 执行 自我 保证 声明 的 产品 供应 商 ， 流程 也 就 确保 了 高 质量 
的 一 致 性 测试 。 对 AUTOSAR 一 致 性 测试 的 要 求 符合 ISOAIEC17011， 它 介绍 了 对 
认证 机 构 一 般 要 求 。 
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2.6 ”实践 中 的 AUTOSAR: 移植 到 AUTOSAR ECU 之 上 


如 果 一 个 公司 在 现场 有 产品 ， 那 么 在 一 步 之 内 实现 标准 是 不 现实 的 ， 也 是 不 
明智 的 。 在 所 有 研发 阶段 ， 逐 步 实现 与 引导 成 熟 的 有 联系 的 流程 来 确保 质量 是 必 
要 的 。 事 实 上， 明智 的 做 法 是 : 逐渐 接近 AUTOSAR 标准 来 收集 混合 平台 上 的 第 
一 次 经 验 ， 并 针对 研发 制订 具体 的 、 明 确 的 、 可 控 的 目标 。 重 要 的 是 不 仅 要 理解 
AUTOSAR 模板 和 计划 的 简单 使 用 ， 而 且 要 理解 AUTOSAR 开发 过 程 的 基本 新 概 
念 ， 且 通过 使 用 它 来 获得 经 验 。 

在 大 多 数 情况 下 ，AUTOSAR 的 一 致 性 的 ECU 研发 并 不 是 从 头 开 始 的 ， 而 是 
修改 现 有 系统 达到 一 个 符合 AUTOSAR 标准 的 系统 。 

几 种 混合 系统 是 可 能 的 : 

。 一 些 BSW 模块 可 能 被 AUTOSAR BSW 模块 取代 。 这 并 不 显示 出 整个 
AUTOSAR 概 念 的 适用 性 。AUTOSAR 的 优点 是 整个 BSW 堆栈 被 标准 化 了 。 就 这 
一 点 来 说 ， 不 仅 单一 模块 而 且 模块 之 间 的 交互 也 被 定义 。 只 有 采用 了 整个 AU- 
TOSAR BSW， 规 范 的 整体 优势 才能 实现 。 

© BSW 模块 集群 可 能 被 AUTOSAR BSW 集群 取代 。 这 个 说 法 对 于 从 定义 的 
集群 ， 例 如 COM 堆栈 中 取得 特定 优势 是 有 意义 的 。 因 为 对 于 几 个 供应 商 来 说 ， 
出 售 特定 的 集群 在 AUTOSAR 出 现 之 前 ， 完 全 适合 商业 模式 的 这 样 一 种 变 体 ， 是 
目前 一 个 通常 的 商业 模式 。 可 以 说 ， 它 是 聊 胜 于 无 。 

© RTE 的 实施 可 以 添加 到 起 初 非 AUTOSAR 兼容 的 BSW 之 上 ， 且 可 以 用 于 
某 些 应 用 程序 中 ， 但 不 是 全 部 。 这 个 说 法 对 于 试验 系统 中 使 用 的 应 用 程序 来 说 ， 
是 一 个 可 能 的 移植 路 径 。 这 是 一 个 迈 向 ICC1 等 级 的 第 一 步 。 不 推荐 把 它 用 于 批 
量 生产 ， 因 为 它 需 要 额外 的 内 存 ， 且 没有 任何 功能 优势 。 

。 一 种 系统 方法 可 以 用 于 指定 系统 ,但 可 能 不 能 用 于 设计 AUTOSAR 架构 
和 实施 。 

它 不 仅 需要 一 个 用 于 实施 流程 的 移植 场景 ， 而 且 和 需要 它 适应 系统 。 因 为 它们 
的 变化 通常 与 结构 重组 有 关 ， 所 以 流程 变化 所 花 的 时 间 超 过 架构 的 变化 时 间 ， 且 
可 能 是 较 早 成 立 的 。 在 本 节 的 其 余部 分 ， 我 们 打算 描述 从 一 个 ECU 移植 到 AU- 
TOSAR ECU 上 的 必要 步 又。 我 们 以 一 个 案例 的 标题 、 先 决 条 件 、 后 置 条 件 的 形 
式 介绍 这 些 步骤 ， 并 给 出 详细 描述 。 

案例 标题 : 

改变 现 有 非 AUTOSAR ECU， 目 的 是 包含 AUTOSAR BSW, RTE 和 ASW 
组 件 。 
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先决 条 件 : 

带 非 AUTOSAR 软件 的 ECU 可用。 

后 置 条 件 : 

带 AUTOSAR 软件 的 ECU 可 用 。 

描述 : 

e 决定 一 个 ICC1 、ICC2 或 ICC3 ECU 架构 。 词 语 “ 不 从 头 开 始 ” 包 含 通 常 
训练 有 素 的 软件 开发 过 程 存在 。 有 必要 分 析 现 有 软件 架构 和 构建 的 流程 。 检 查 现 
有 的 BSW 如 何 与 RTE 交互 。 决 定 要 走 哪 条 路 。 现 有 BSW 能 够 满足 ICC3 轻微 的 
变化 吗 ? 或 者 是 研发 一 个 ICC1 系统 更 适合 ? 这样 的 决定 不 能 由 供应 商 对 自己 的 
产品 做 出 。 如 果 OEM 打算 在 这 个 ECU 上 运行 其 他 供应 商 的 ASW 组 件 ， 那 么 还 
必须 考虑 来 自 这 些 额外 ASW 组 件 的 需求 。 

o 描述 ECU 类 型 、 连 接 性 和 使 用 ECU 资源 模板 的 资源 。 这 一 步 可 以 由 半 导 
体 供应 商 直 接 完 成 。 作 为 文档 的 一 部 分 ， 模 板 可 以 与 硬件 一 起 交付 。 

。 开发 针对 应 用 程序 层 的 架构 。 分 析 早 已 在 ECU 上 运行 的 应 用 软件 。 从 逻 

辑 上 把 应 用 程序 划分 成 组 件 。 把 这 些 组 件 拆 分 为 独立 于 硬件 和 独立 于 硬件 组 件 。 
第 一 组 将 作为 除 RTE (使 用 底层 BSW) 之 外 的 ASW 组 件 运 行 。 第 二 组 可 能 作为 
一 个 复杂 的 设备 驱动 程序 实施 。 
把 独立 的 硬件 组 件 转换 成 ASW 组 件 。 从 传统 应 用 程序 中 提取 单个 组 件 。 意 
味 着 所 有 的 内 部 和 外 部 的 通信 和 需要 分 析 。 组 件 使 用 的 数据 类 型 和 接口 根据 这 一 分 
析 来 建 模 。 实 际 组 件 一 一 它 可 能 是 一 个 极 微小 的 组 件 、 传 感 器 组 件 或 一 个 参与 者 
组 件 一 一 通过 使 用 这 些 接口 来 建 模 。 

除了 它 的 通信 外 ， 组 件 的 内 部 行为 也 需要 进行 分 析 。 传 统 代码 中 基于 周期 性 
的 和 基于 事件 的 功能 是 按照 运行 实体 来 建 模 的 。 

© 完成 系统 配置 步骤 。 集 成 商 使 用 系统 模板 的 系统 约束 部 分 来 设计 映射 约 
束 。 计 划 在 相同 ECU 上 运行 的 所 有 组 件 映射 到 系统 生成 步 又 中 的 硬件 上 。 

在 ECU 提取 器 的 帮助 下 ， 提 取 生 成 步骤 的 输出 。 对 实施 、 配 置 和 测试 的 必 
要 信息 ， 单 一 ECU 要 把 它们 分 离 出 来 。 现 在 ， 可 以 运行 AUTOSAR RTE 生成 器 
合约 阶段 。 它 生成 了 应 用 程序 程序 员 所 需 的 一 组 头 文件 来 实施 组 件 。 在 接口 和 连 
接 器 的 帮助 下 ， 把 组 件 们 连接 在 一 起 。 

。 集成 ECU。 配 置 BSW 一 一 比如 线程 使 用 与 线程 优先 级 、 总 线 一 一 系统 通 
信和 参数 (如 CAN 帧 优先 级 ) 等 。RTE 生成 阶段 使 用 RTE 生成 器 。 如 果 ECU 所 
有 必要 的 软件 已 经 汇集 ， 包 括 BSW 代码 、RTE 代码 和 ASW 组 件 代码 ， 那 么 就 可 
以 构建 ECU 软件 图 像 。 下 载 此 图 像 到 目标 中 并 测试 它 。 

具体 步骤 不 能 由 AUTOSAR 来 定义 。 很 多 开发 人 员 对 这 个 现象 感到 失望 ， 因 
为 他 们 希望 从 标准 中 得 到 更 具体 的 流程 建议 。 但 发 布 合适 的 流程 不 是 这 个 标准 的 
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责任 。 这 是 一 个 竞争 的 舞台 。 因 此 ， 每 个 公司 都 对 流程 负责 。 同 时 ， 甚 至 期 望 得 
到 指导 方针 也 会 被 拒绝 。 这 将 干扰 标准 本 身 。 所 以 ，AUTOSAR 的 边界 是 非常 清 


楚 的 。 











2.7 ”实践 中 的 AUTOSAR: OEM - 供应 商 协作 的 应 用 





在 本 节 中 ， 我 们 要 考虑 在 一 个 ECU 网 络 的 开发 过 程 中 ， 一 个 OEM 如 何 和 供 
应 商 合作 的 案例 。 假 定 供应 商 开 发 了 几 种 在 车 载 ECU 网 络 上 运行 的 ECU。OEM 
是 整个 系统 的 集成 者 。 步 又 再 次 是 以 使 用 案例 描述 的 形式 出 现 ， 如 图 2. 11 所 示 。 

使 用 案例 的 标题 ; 

由 若干 个 ECU (集成 了 硬件 和 软件 ) 组 成 的 一 个 子 系统 ， 由 一 个 供应 商 卖 
给 了 OEM, OEM 把 子 系统 集成 到 它 的 ECU KAMA, RAH ECU 可 能 来 自 不 
同 的 供应 商 。 


| OEM | : | 供应 商 | 






























软件 架构 有 



































yy _ ' 
系统 : 
图 2.11 OEM -供应 商 协作 案例 
先决 条 件 : 
配备 了 AUTOSAR 软件 的 几 个 ECU 构成 的 一 个 子 系 统 ， 由 所 考虑 的 供应 商 
开发 。 
后 置 条 件 : 


一 个 ECU 的 子 系统 要 根据 客户 指定 的 愿望 来 改变 ， 并 出 售 给 顾客 。 
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描述 : 

。 供应 商 提供 系统 配置 步骤 的 输入 信息 。 供 应 商 提供 子 系统 中 使 用 的 人 硬件 
的 ECU 资源 描述 给 OEM, OEM 就 把 这 个 描述 添加 到 整个 车 辆 使 用 的 说 明 中 ， 因 
而 他 或 她 得 到 了 专用 车 辆 中 所 有 硬件 使 用 的 一 套 完 整 的 ECU 资源 描述 。 
供应 商 把 针对 子 系统 ASW 组 件 的 描述 提供 给 OEM, OEM 把 这 些 描述 添加 到 
针对 整个 车 辆 的 他 或 她 的 软件 架构 上 。 
供应 商 把 用 于 子 系统 的 ASW 组 件 的 系统 约束 提供 给 OME, OEM 把 这 些 系统 
约束 集成 到 系统 架构 上 。 

© OEM 运行 系统 配置 。OEM 集成 了 所 有 三 个 模板 : ECU 资源 描述 、 系 统 模 
板 和 ASW 组 件 模 板 。 现 在 ，OEM 贯穿 系统 配置 步骤 。 这 一 步 是 一 种 迭代 。ASW 
部 件 到 ECU 硬件 的 第 一 个 映射 可 能 会 导致 需要 改变 系统 架构 以 及 软件 架构 。 这 
将 导致 OEM 方面 以 及 供应 商 方 面 的 变化 。 因 此 ， 在 OEM 和 参与 的 供应 商 之 间 存 
在 一 个 强 有 力 的 关系 是 必要 的 。 

OEM 提取 ECU (将 由 考虑 的 供应 商 实施 ) 专用 子 系统 的 配置 说 明 。OEM 提 
供 这 种 配置 数据 给 供应 商 。 

o 供应 商 实施 子 系统 。 供 应 商 改变 它 的 子 系统 、 生 成 RTE， 并 为 每 个 ECU 
配置 BSW。 在 整合 及 在 ECU 层面 和 子 系统 层面 上 测试 完成 后 ， 供 应 商 把 集成 的 
子 系统 提供 给 OEM。 

。 OEM 集成 系统 。OEM 把 子 系统 集成 到 整个 电子 /电气 系统 上 ， 内 容 包 括 
必要 的 集成 和 测试 步骤 。 
案例 显示 了 OEM 和 供应 商 之 间 的 密切 互动 。 这 在 考虑 车 辆 功能 层面 早期 集 
成 时 显得 尤为 必要 。 这 样 一 个 新 的 概念 打破 了 传统 的 OEM 与 供应 商 的 关系 。 正 
如 在 开发 流程 中 所 提 到 的 ， 引 入 新 的 OEM - 供应 商 协作 流程 需要 时 间 ， 且 难以 
建立 。 但 是 ， 整 个 标准 的 成 功 取决 于 标准 所 要 求 的 流程 的 成 功 。 











































































































2.8 ”实践 中 的 AUTOSAR: AUTOSAR 5 ECU 兼容 性 的 
演示 








把 所 有 先前 描述 的 概念 付 诸 实践 需要 经 验 。 获 取 和 显示 这 方面 的 经 验 ， 以 演 
示 仪 堆 集 的 方式 表示 的 学 习 工 程 是 一 个 合适 的 方法 。 本 节 简 短 介 绍 了 显示 概念 和 
规范 应 用 的 演示 仪 。 研 发 本 身 有 助 于 教会 方法 如 何 应 用 。 该 演示 仪 由 西门 子 的 西 
门 子 威 迪 欧 汽车 商务 部 研发 。 演 示 仪 是 一 套 不 同 子 域 的 ECU， 它 们 在 AUTOSAR 
的 第 一 阶段 即 车 身 、 底 盘 、 动 力 总 成 中 考虑 。 
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2.8.1 演示 仪 描述 


在 演示 仪 中 显示 的 主要 功能 是 巡航 控制 。 这 一 个 功能 需要 的 数据 来 自 不 同 域 
的 若干 种 传感器 ， 这 个 功能 对 数据 处 理 具有 中 枢 (独立 域 ) 责任 ， 并 使 用 若干 
输出 设备 。 这 样 的 话 ， 这 个 功能 在 很 多 方面 是 适合 显示 AUTOSAR 的 一 些 主要 目 
标的 。 但 要 显示 与 其 他 应 用 程序 的 相互 作用 ， 需 要 实现 附加 应 用 程序 。 这 些 应 用 
程序 包括 空调 、 刊 水 器 和 中 央 门 锁 。 不 过 在 本 节 ， 我 们 仍 将 关注 巡航 控制 。 

驾驶 人 可 以 通过 按 下 一 个 按钮 来 设置 速度 和 启动 巡航 控制 功能 。 巡 航 控制 开 
始 保持 基于 车 辆 实际 行驶 的 速度 。 为 告知 驾驶 人 车 的 实际 状况 ， 在 仪表 板 内 的 巡 
航 控 制 灯光 符号 被 激活 。 驾 怠 人 可 以 通过 按 “ 取 消 ” 按 钮 或 制 动 踏 板 ， 恢 复 到 
手动 控制 。 一 旦 激活 巡航 控制 功能 ， 速 度 就 被 记 住 。 最 后 的 一 个 有 效 值 可 以 通过 
按 下 恢复 按钮 而 得 到 恢复 。 在 任何 时 候 ， 驾 驶 人 可 以 通过 踩 下 加 速 踏板 来 覆盖 实 
际 设 定 速 度 。 如 果 驾 驶 人 松 开 加 速 踏板 ， 则 预先 设 定 的 速度 将 被 恢复 和 保持 。 

此 功能 特别 适合 于 显示 AUTOSAR 的 跨 域 概念 ， 这 是 因为 : 

o 几 个 传感器 : 加 速 踏板 、 制 动 和 按钮 。 

。 一 种 域 独立 算法 来 处 理 数据 。 

© 多 个 执行 器 : 发 动机 控制 、 仪 表 板 。 

该 演示 仪 包括 一 套 简化 功能 的 4 个 ECU 和 一 个 附加 的 PC。 它们 是 通过 高 速 
CAN 网 络 连接 。 其 中 的 3 个 ECU 是 基于 NEC V850 硬件 ， 还 有 一 个 ECU 是 基于 
TriCore (EH AE (uC). PC 用 于 对 整个 功能 的 中 央 控 制 、 总 线 通 信 仿 真 以 及 人 
机 界面 (HMI) 的 目的 。 在 V850 ECU 上 实施 了 ICC3 AUTOSAR BSW 栈 。 在 Tri- 
Core uC 上 实施 了 AUTOSAR BSW 栈 的 ICC2。 每 个 ECU 需要 在 网 络 中 扮演 一 个 
特定 的 角色 。 一 个 ECU 担当 实时 服务 器 的 责任 ， 一 个 ECU 负责 发 动机 控制 单 
J, 一 个 ECU 作为 车 身 控制 单元 ， 还 有 一 个 ECU 作为 仪表 控制 单元 。 传 感 器 和 
执行 句 通 过 CAN 网 络 连接 到 其 中 的 ECU 上 ， 如 图 2. 12 所 示 。 

整个 系统 被 放置 在 两 个 可 移动 的 箱子 中 ， 这 样 它 可 用 于 在 客户 现场 演示 。 每 
一 个 涉及 的 子 域 现在 可 以 演示 指定 的 ECU 如 何在 AUTOSAR ECU 跨 域 网 络 中 
工作 。 


2.8.2 演示 仪 展示 的 概念 


结果 演示 了 AUTOSAR 开发 周期 以 及 使 用 AUTOSAR 的 跨 域 系统 功能 整合 能 
力 的 实践 。 在 AUTOSAR 开发 中 的 专业 知识 是 通过 运用 AUTOSAR 方法 的 所 有 步 
又 获得 的 ， 并 从 使 用 不 同 模板 和 系统 配置 开始 。ASW 组 件 通过 ASW 组 件 模 板 来 
描述 。 这 样 ， 就 可 以 演示 出 ASW 组 件 模 板 的 可 用 性 ， 且 ASW 组 件 独立 于 具体 的 
硬件 。 
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图 2.12 巡航 控制 





这 里 ， 必 须 理解 术语 “可 用 性 ”， 且 不 能 仅 理 解 为 使 用 这 样 一 个 模板 可 以 描 
述 一 个 ASW 组 件 。 此 外 ， 它 也 表明 , 现 有 的 控制 算法 和 控制 可 以 应 用 到 
AUTOSAR 概 念 来 描述 一 个 系统 。 这 个 步骤 的 结果 是 符合 AUTOSAR 标准 的 ASW 
组 件 的 描述 和 巡航 控制 算法 、 发 动机 软件 和 其 他 必要 的 ASW 组 件 的 约束 描述 。 

指定 了 系统 并 在 VFB 层面 上 模拟 。AUTOSAR 的 目标 之 一 就 是 能 够 在 一 个 独 
立 于 硬件 层面 上 模拟 ASW 组 件 行为 。 这 个 工作 是 通过 一 个 典型 的 仿真 工具 的 仿 
真 来 实现 的 。 这 样 的 一 个 模拟 可 以 使 早期 的 集成 和 验证 能 够 在 模型 层次 上 表现 出 
来 ， 例 如 ， 模 拟 需 要 运行 发 动机 控制 单元 的 所 有 的 发 动机 和 车 辆 传感器 IO 和 作 
动 需 I0。 这 些 组 件 在 硬件 在 环 (HIL) 和 在 VFB 仿真 中 进行 了 模拟 ， 它 们 模拟 
T ASW 组 件 和 RTE。 这 使 得 两 种 模拟 技术 可 以 直接 进行 比较 。 

在 这 个 虚拟 集成 完成 之 后 ，ASW 组 件 映射 到 专用 的 、 真 实 的 硬件 上 ， 且 与 
AUTOSAR BSW 和 某 些 额外 的 复杂 的 设备 驱动 程序 集成 在 一 起 。 为 了 显示 巡航 控 
制 ASW 组 件 实施 的 独立 性 ， 这 个 ASW 组 件 可 以 映射 到 ICC3 BSW 系统 运行 的 所 
有 3 个 ECU 上 。 

BSW 的 实现 基于 AUTOSAR R2. 0 版 本 。 在 发 动机 控制 单元 上 运行 的 软件 都 
有 具体 的 要 求 ， 它 不 包括 在 AUTOSAR R2.0 版 本 的 规范 中 。 因 此 ， 在 该 ECU 上 
运行 的 BSW 包括 AUTOSAR 模块 及 非 AUTOSAR BSW 模块 。 总 之 ， 这 种 构造 也 
显示 了 AUTOSAR 概念 适用 于 动力 总 成 域 。 

这 种 集成 整合 了 BSW 和 ASW 组 件 的 配置 ， 以 及 使 用 一 个 RTE 生成 器 工具 
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的 具体 目标 硬件 的 RTE 生成 。 

总 结 出 通过 实施 显示 的 额外 的 概念 : 它 显示 了 使 用 BSW 和 RTE 的 实施 

。 在 不 同 的 硬件 平台 上 。 

。 对 于 模式 管理 ， 特 别 是 在 低 功 率 模式 下 。 

e 对 于 AUTOSAR BSW 和 复杂 设备 驱动 程序 相 结合 。 

这 种 实施 也 使 得 ECU 之 间 的 传感器 和 执行 器 的 连接 能 够 被 转移 。 这 可 以 当 
做 一 个 可 插 拔 的 方案 或 作为 一 个 部 署 方案 来 实施 ， 即 实施 LIN 和 直接 连接 之 间 的 
转移 。 


2.9 ”商业 考虑 


从 商业 角度 来 看 ，AUTOSAR 改变 了 整个 ECU 市 场 及 它们 的 软件 。 但 
AUTOSAR 不 是 引起 这 些 变化 的 原因 。AUTOSAR 只 是 适应 和 加 快 了 现代 软件 开发 
中 的 这 种 趋势 。 这 些 趋势 中 主要 特点 是 通过 分 层 架 构 ， 把 ASW 从 硬件 中 分 离 出 
来 。 通 过 这 一 点 ，AUTOSAR 使 得 精细 化 商业 尺度 成 为 可 能 。 客 户 可 以 自主 选择 
部 分 的 系统 ， 并 建立 自己 的 更 加 灵活 的 系统 。 让 我 们 单独 考虑 每 一 个 细小 部 分 。 

BSW: 由 于 ASW 细节 上 的 功能 进行 了 标准 化 ， 因 此 BSW 将 是 一 种 商品 。 
厂商 之 间 的 差异 不 再 通过 指定 的 功能 给 出 。 差 异性 仅 限 于 性 能 和 内 存 使 用 实施 方 
面 的 优化 。 

RTE; RTE 不 是 手工 开发 的 软件 ， 它 是 生成 的 。RTE 生成 器 可 能 只 是 集成 
到 一 个 更 大 的 系统 开发 工具 中 的 一 块 。 如 果 BSW 作为 一 个 整体 而 不 是 单独 的 模 
块 来 提供 ， 那 么 或 许 RTE 将 以 不 包括 BSW 的 形式 提供 。 所 以 ， 这 一 部 分 可 能 不 
会 成 为 一 个 独立 的 业务 , 但 是 对 于 运行 BSW 和 相关 工具 的 业务 来 说 ， 这 是 一 个 
必要 的 组 成 部 分 。 

ASW: 由 于 ASW 是 独立 于 底层 硬件 的 ， 因 此 对 这 部 分 业务 的 软件 给 予 了 更 
多 的 灵活 性 。 软 件 市 场 上 的 主要 差异 化 分 配给 了 ASW。 它 为 客户 选择 最 适合 他 
或 她 需求 的 软件 提供 了 更 大 的 灵活 性 。 另 一 方面 ,在 差异 化 竞争 对 手 方面 ， 
ASW 给 供应 商 提供 了 更 多 的 灵活 性 。 

在 过 去 ， 由 于 硬件 和 软件 的 耦合 ， 这 种 灵活 性 受 限 于 技术 约束 。 有 了 
AUTOSAR 以 后 ， 软 件 将 带 来 更 多 新 功能 的 灵活 性 。 

建 模 工具 : 工具 的 规范 和 实现 不 是 AUTOSAR 的 内 容 。AUTOSAR 标准 化 了 
模型 层次 上 的 交换 格式 。 这 个 对 工具 市 场 有 重大 的 影响 。 它 允许 针对 客户 和 产品 
供应 商 使 用 不 同 的 工具 。 这 可 以 确保 每 一 方 在 选择 工具 方面 都 有 更 大 的 灵活 性 。 
对 于 一 个 为 每 个 客户 使 用 特定 工具 的 产品 供应 商 来 说 ， 它 不 再 是 必要 的 。 工 具 和 
BSW 之 间 的 耦合 是 一 个 在 过 去 常见 的 市 场 模 式 ， 显 然 是 受 限 制 的 AUTOSAR。 
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系统 集成 : AUTOSAR 使 所 有 组 件 、 模 块 和 子 系统 集成 到 整个 车 辆 系统 更 容 
易 。 汽 车 市 场 的 分 化 将 由 生产 新 功能 的 汽车 广泛 分 布 式 功能 集成 和 合作 所 驱动 。 





2.10 ”展望 


核心 合作 伙伴 同意 继续 从 2007 年 到 2009 年 的 伙伴 合作 计划 。 这 个 第 二 阶段 
将 保持 和 扩展 第 一 阶段 可 交付 的 成 果 ， 但 pease alicia 阶段 的 
主要 目标 是 : 

o 改进 和 扩展 AUTOSAR 软件 架构 和 通信 机 制 (错误 处 理 、 对 VFB 的 功能 
扩展 、 在 RTE 层面 调试 设备 、 支 持 多 媒体 的 要 求 、 车 辆 模式 管理 的 概念 等 ) 。 

o 执行 第 一 阶段 规定 的 安全 概念 

。 完 成 并 落实 在 AUTOSAR BSW 模块 上 的 工作 O 重信 栈 、 诊 断 、 实 时 监 
2) 。 

e 继续 规范 以 下 应 用 层 的 接口 : 车 身 和 和 舒适 性 、 动 力 总 成 、 底 盘 、 行 人 与 
乘员 安全 系统 、 多 媒体 、 通 信和 人 机 界面 。 

o 维护 和 支持 AUTOSAR 规格 ， 在 联盟 内 能 够 充分 利用 AUTOSAR, 

所 有 的 新 概念 将 正如 第 一 阶段 的 那样 ， 通 过 验证 器 和 演示 者 来 证 明 。 

标准 开发 的 开始 时 间 与 第 二 阶段 平行 。 在 新 闻 发 布 会 、 会 议和 展览 会 上 ， 你 
可 以 看 到 与 AUTOSAR 相关 的 产品 数量 正在 快速 增长 。 在 早期 研发 阶段 所 完成 的 
试验 带 来 进一步 标准 变化 要 求 。 联 盟 的 成 员 对 重要 开发 所 做 的 工作 将 把 
AUTOSAR 带 到 工业 上 的 成 熟 。 





























参考 文献 


1. ITEA, Technology Roadmap on Software Intensive Systems, ITEA Office Association, 
Eindhoven, the Netherlands, March 2001. 

2. K. Jost, Electronics demand to grow nearly 7% annually, Automotive Engineering 
International, September 2001. 

3. ATKerney, Software-betriebene Fahrzeugsysteme bestimmen die Zukunft des Auto- 
mobils Study, 2001. 

4, McKinsey & Company, Automotive Software: A Battle for Value Study, 2002. 

5. D. Sallee and R. Bannatyne, Trends in advanced chassis control, Automotive Engineer- 
ing International, September 2001. 

6. K. Jost, From fly-by-wire to drive-by-wire, Automotive Engineering International, 

September 2001. 

H. Fennel, AUTOSAR—a standardized automotive software architecture, OOP Con- 

ference Presentation, January 2007. 


N 


44 


第 2 AUTOSAR (汽车 开放 式 系统 架构 ) 标准 的 应 用 @@ 





AUTOSAR GbR; Achievements and exploitation of the AUTOSAR development 
partnership, Convergence Conference Paper, Detroit, October 2006. 

AUTOSAR GbR, AUTOSAR—the standard, its exploitation and further develop- 
ment, AAET 2007— Automatisierungs-, Assistenzsysteme und eingebettete Systeme 
für Transportmittel, Conference paper, Braunschweig, February 2007. 


. S. Voget, AUTOSAR standard, Embedded World Conference Presentation, Nürnberg, 


February 2007. 


. AUTOSAR GbR, Main Requirements, V2.0.1. Available at: www.autosar.org, 


December 2006. 


. AUTOSAR GbR, AUTOSAR Meta Model, V1.0.1. Available at: www.autosar.org, 


AUTOSAR MetaModel.zip, December 2006. 


. OMG, Meta Object Facility (MOF) 2.0 Core Specification. Available at: www. 


omg.org. 


. AUTOSAR GbR, Software Component Template, V2.0.1. Available at: www.autosar. 


org, December 2006. 


. OMG, Common Object Request Broker Architecture (CORBA/IIOP), V3.0.3. Available 


at: www.omg.org. 


. AUTOSAR GbR, List of Basic Software Modules, V1.0.0. Available at: www. 


autosar.org, December 2006. 


. AUTOSAR GbR, Specification of RTE Software, V1.0.1. Available at: www.autosar. 


org, December 2006. 


45 





3.1 概述 : 道路 运输 及 其 发 展 


3.1.1 如 此 美妙 的 产品 


在 整个 20 世纪 ， 汽 车 及 其 基础 设施 在 以 这 样 一 种 方式 开发 ， 使 得 它们 成 为 
在 大 多 数 工业 化 国家 乘客 和 货物 的 主要 运输 方式 。 在 这 些 国家 ， 已 经 达到 了 大 约 
人 均一 辆 汽车 的 水 平 (每 1000 个 居民 约 800 辆 汽车 ) ， 而 在 中 国 和 印度 这 样 的 
国家 ， 目 前 是 每 1000 个 居民 25 辆 汽车 ， 且 在 不 断 增长 !1]， 

因此 ， 我 们 可 以 说 汽车 可 能 是 20 世纪 最 成 功 的 和 最 具 影 响 力 的 产物 。 它 在 
世界 范围 内 创造 了 一 个 巨大 的 产业 ， 它 改变 了 数 百 万 人 的 生活 ， 也 改变 了 城市 的 
组 织 方式 。 

然而 ， 这 种 极端 的 增长 带 来 了 一 些 问题 ， 它 是 我 们 现在 不 得 不 面 对 的 。 问 题 
主要 关注 安全 、 基 础 设施 的 交通 拥堵 和 所 有 这 些 车 辆 所 需 的 能 量 。 正 如 我 们 将 在 
本 章 中 所 看 到 的 ， 新 的 电子 技术 提供 了 一 些 解决 这 些 问题 的 办 法 。 


3.1.2 安全 问题 


道路 上 的 死亡 人 数 已 经 达到 了 惊人 的 水 平 : 每 年 全 球 超过 一 百 万 。 这 是 一 个 
比 过 去 任何 战争 死亡 人 数 更 多 的 问题 ， 在 大 多 数 工 业 化 国家 ， 政 府 把 它 当 做 一 个 
重大 的 挑战 来 解决 。 许 多 国家 已 经 设 定 了 一 个 降低 死亡 率 的 目标 : 在 未 来 5 年 内 
降低 50% ， 且 在 一 些 地 方 ， 如 瑞典 ， 设 定 了 “和 零 死 亡 ”目标 ?1 。 

车 辆 和 基础 设施 早已 得 到 大 大 改进 ， 但 现在 事故 由 于 驾驶 人 的 错误 所 占 的 比 
例 增 加 了 。 因 此 ， 新 的 控制 技术 正 被 开发 出 来 ， 让 控制 远离 区 驶 人 ， 目 的 是 为 了 
减少 他 或 她 的 错误 [31 。 


3.1.3 交通 拥堵 问题 
在 大 多 数 大 城市 和 主要 的 运输 走廊 中 ， 基 础 设施 的 交通 拥堵 是 一 个 主要 问 
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题 。 在 许多 国家 ， 就 失去 的 时 间 和 精力 来 说 ， 它 花费 了 国民 生产 总 值 (GNP) 
的 几 个 百分点 。 此 外 ， 交 通 拥堵 导 致 了 污染 和 温室 气体 排放 (GHG) 的 增加 。 

车 辆 质量 的 提高 有 助 于 提高 性 能 ， 例 如， 降低 了 安全 停车 距离 和 提高 了 加 速 
BE, 但 汽车 仍然 存在 非常 低 效 的 空间 使 用 ,特别 是 在 其 私人 形式 (大 部 分 时 间 
它 仍然 存在 ) 。 

为 了 满足 不 断 增 长 的 运输 需求 ， 现 在 工业 化 国家 的 解决 方案 在 于 更 好 地 管理 
资源 〈 基 础 设施 和 和 车辆 ) ， 在 于 更 好 地 利用 组 合式 运输 方式 (最 优 使 用 不 同形 式 
的 交通 ， 因 为 在 大 城市 大 规模 运输 是 不 可 避免 的 ) ， 但 也 在 于 车 辆 控制 的 新 
技术 。 

事实 上 ， 在 过 去 的 100 年 内 ， 就 驾驶 室 通过 机 械 装置 〈 转 向 盘 和 踏板 ) 对 
车 辆 负 全 部 责任 来 说 ， 汽 车 的 基本 控制 技术 并 没有 改变 太 多 。 这 些 原 始 的 控制 导 
致 了 低 效率 和 事故 。 诸 如 自 适 应 巡航 控制 等 新 的 控制 技术 (ACC) ， 如 果 设 计 得 
当 ， 则 通过 减 小 车 辆 之 间 的 时 距 以 及 通过 引入 带 更 少 “ 冲 击 波 ”( 这 导致 交通 墙 
SE) 的 平滑 流 ， 那 么 绝对 可 以 提高 基础 设施 的 流量 [4]。 

另 一 种 类 型 的 控制 需要 调节 需求 和 实现 避免 拥挤 (导致 能 力 降低 )。 这 里 的 
一 般 趋 势 是 引入 某 些 形式 的 道路 收费 〈 或 拥堵 收费 ) ， 目 的 是 当 交 通 出 现 拥堵 时 
减少 本 地 交通 需求 5 。 


3.1.4 能 源 和 排放 


事实 上 ， 私 家 车 在 每 位 乘客 /公里 方面 具有 相当 高 的 能 源 使 用 效率 ， 它 可 以 
与 其 他 交通 模式 的 平均 值 相 比 (9 。 当 然 ， 当 满载 时 ， 集 体 运输 可 以 是 非常 有 效 
的 。 但 有 时 因为 它们 几乎 空 载运 行 ( 且 完 全 没有 乘客 就 返回 车 站 ) ， 它 们 的 效率 
通常 不 比 平均 载 客 率 1.2 个 乘客 的 私家 车 的 效率 高 。 

私家 车 的 主要 问题 是 它们 使 用 的 燃料 类 型 。 在 国际 市 场 上 ， 大 部 分 的 汽车 使 
用 化 石 燃料 ， 它 们 导致 了 各 种 类 型 的 排放 。 虽 然 汽 车 制造 商 在 减少 局 部 污染 物 方 
面 取得 了 很 大 的 进步 ， 但 仍 留 下 一 些 氮 氧 化 物 和 微粒 排放 问题 。 然 而 ， 最 大 的 问 
题 涉及 C0, 的 排放 及 其 对 地 球 的 潜在 影响 (温室 效应 ) 。 随 着 公路 运输 的 增加 
(尤其 是 对 于 货物 运输 ， 在 发 展 中 国家 还 有 旅客 运输 ) ， 这 正成 为 世界 范围 的 一 
个 主要 问题 ， 因 此 减少 温室 气体 的 目标 在 短期 内 几乎 是 不 可 能 的 。 

中 期 解决 方案 似乎 存在 于 对 使 用 同一 个 方向 基础 设施 的 集体 运输 车 辆 与 私家 
车 之 间 一 个 更 好 的 模式 分 离 ， 存 在 于 通过 道路 收费 计划 来 更 好 地 控制 车 辆 使 用 。 
在 长 远 来 看 ， 诸 如 沼气 或 氢 等 新 能 源 〈 通 过 碳 中 和 方案 生产 的 ) 可 能 为 温室 气 
体 排放 提供 一 个 全 面 的 解决 方案 。 


3.1.5 小 结 及 本 章 介绍 的 内 容 


总 之 ,我 们 看 到 汽车 因为 通过 20 世纪 的 发 展 要 彻底 改变 以 满足 以 下 几 个 
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PEA: 

。 更 好 的 安全 性 。 

。 更 好 地 利用 能 源 。 

。 更 高 效率 地 使 用 空间 。 

应 用 关键 技术 来 满足 这 些 挑 战 将 在 这 一 章 中 呈现 ， 这 些 关 键 技术 包括 对 传 感 
、 执 行 咒 和 控制 技术 的 新 的 研发 。 然 而 ， 引 入 这 些 技 术 〈 它 趋向 于 让 驾驶 人 
远离 控制 车 辆 ) 的 一 个 关键 因素 ,将 是 它们 的 可 靠 性 、 用 户 的 认可 度 、 允 许 的 
规范 或 在 道路 上 实施 的 规范 。 


3.2 ”新 技术 
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3.2.1 传感器 技术 


在 任何 控制 系统 中 传感器 是 必需 的 要 素 ， 且 当 我 们 想 给 驾驶 人 推出 某 种 形式 
的 帮助 时 ， 传 感 器 技术 特别 适用 于 道路 车 辆 。 在 这 里 ， 我 们 将 简要 概述 现在 工业 
上 使 用 的 传感器 。 

如 图 3. 1 所 示 ， 传 感 器 在 不 同 的 应 用 范围 内 工作 。 超 声波 传感器 提供 帮助 低 
速 操作 ， 如 停车 ， 而 相机 和 激光 融 为 城市 道路 驾驶 辅助 提供 足够 的 距离 范围 ， 而 
雷达 通常 用 于 高 速 驾 驶 时 ， 探 测 车 辆 前 方 路 况 。 











超声 波 (多 层 ) 激 光 
停车 帮助 Qm) 打 描 仪 (20 ~50m) 






超声 波 停 咎 场 
测量 (2m) 


(立体 ) 相 机 ay 
(30 ~50m) eae 


图 3.1 传感器 植 人 和 探测 距离 介绍 





3.2.1.1 超声 波 传感器 

这 些 简 单 和 廉价 的 主动 式 传感器 通过 电 驱 动 的 静电 或 压 电 换 能 器 ， 发 出 一 个 
圆锥 形 的 超声 波 ， 并 通过 对 称 传导 接收 回 波 。 测 量 发 射 和 接收 时 间 之 间 的 时 间 间 
隔 给 出 了 距离 最 近 障碍 的 一 个 估计 值 ， 且 最 大 探测 距离 有 好 几米 '"]。 超 声波 传 
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感 器 也 可 以 用 于 角 位 置 估计 ， 具 体 见 参考 文献 [8] 。 

超声 波 传感器 目前 一 般 使 用 在 汽车 行业 的 一 些 应 用 场合 ， 最 常见 的 是 倒车 和 
停车 辅助 系统 ， 以 及 入 侵 检测 系统 。 在 欧洲 ， 每 个 主要 汽车 制造 商 在 中 级 和 顶级 
车 辆 上 提供 这 些 选项 。 然 而 ， 这 些 传感器 只 给 驾驶 人 一 个 音频 反馈 ， 因 此 还 没有 
它们 参与 控制 车 辆 的 应 用 场合 。 这 在 未 来 可 能 会 改变 停车 帮助 ， 其 中 传感器 可 以 
用 来 准确 检测 可 用 停车 空间 以 及 停车 过 程 中 的 回旋 余地 。 

3.2.1.2 惯性 传感器 -加 速度 计 - 陀螺 仪 

完整 的 惯性 测量 装置 是 由 六 个 传感器 组 成 的 ， 它 们 可 以 测量 车 辆 的 六 个 自由 
E (DOF)， 即 三 个 方向 转动 (俯仰 、 侧 倾 和 偏 航 ) 以 及 三 个 加 速度 。 

然而 ， 由 于 车 辆 操纵 是 在 道路 上 进行 的 ， 如 图 3.2 所 示 的 Ox 与 0y 平 面 ， 
定位 所 需 的 自由 度 问题 可 以 简化 为 绕 垂 直 轴 旋转 的 运动 〈 偏 航 ) 和 纵向 加 速度 
测量 ， 它 们 足以 重建 一 个 近似 的 车 辆 的 轨迹 。 如 果 车 辆 不 打滑 的 话 ， 测 量 车 轮转 
动 及 转向 角 是 一 个 便宜 的 策略 。 
































图 3.2 地 面 车 辆 运动 自由 度 


3.2.1.3 光 探 测 与 搜索 或 激光 探测 与 搜索 

光 探 测 与 搜索 (LIDAR) 或 激光 探测 与 搜索 (LADAR) 通常 是 军事 领域 中 
使 用 的 术语 ， 是 主动 式 传感器 ， 它 是 由 一 个 光源 、 一 个 光子 探测 系统 、 定 时 电路 
以 及 光源 与 接收 器 组 成 的 光学 系统 。 激 光 雷 达 发 送 一 个 连续 调幅 信号 ， 并 确定 回 
EAE SO 。 

使 用 一 个 固定 的 正弦 频率 刻 如 果 有 一 个 物体 在 距离 4 处 ， 那 么 一 个 相位 偏 
移 Ap =2mf(2d/c) 将 在 传播 信号 和 接收 信号 之 间 观 察 到 ， 其 中 < 表示 光速 。 一 个 
目标 的 估计 距离 由 下 式 给 出 : d= Age/4af, 
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通过 相 移 可 以 测量 估计 的 最 大 距离 由 下 式 计算 给 出 ws. = (27c/4mf) = (cv 
2f) = (A/2)， 其 中 入 表示 指定 信号 的 波长 。 在 (测量 ) 距离 之 外 ， 相 位 的 转 数 
就 会 变 得 不 确定 ( 表 3.1)。 
表 3.1 采用 相位 偏 移 估计 的 最 远 距 














信号 频率 最 远 距离 
1kHz 150km 
1MHz 150m 
1GHz 15cm 





由 于 红外 信号 具有 微米 波长 ， 所 以 通过 使 用 相位 包 络 ， 幅 值 调 制 (图 3.3) 
被 用 于 绕 过 相 移 测量 的 局 限 性 ， 与 此 同时 又 保持 红外 载波 传播 的 优势 。 

另 一 种 激光 雷达 技术 是 发 送 脉冲 ， 接 收 反射 波 ， 并 测量 来 回 行程 的 间隔 。 通 
过 伪 随 机 编码 ， 脉 冲 进 行 了 幅 值 调 制 ， 以 促进 传 出 和 传人 的 信号 的 联合 

使 用 一 个 旋转 头 〈 一 根 或 两 根 轴 ) 或 使 用 镜子 ， 执 行 多 次 扫描 ， 这 样 障 碍 
的 距离 是 在 无 数 个 方向 上 决定 的 。 在 分 辨 率 、 光 圈 与 扫描 速度 之 间 进 行 折 中 ， 因 
而 适 于 应 用 的 令 人 满意 的 性 能 就 获得 了 。 在 好 天 气 条 件 下 ， 人 允许 的 激光 源 可 以 检 
测 障碍 物 远 达 200m， 精 度 是 几 厘 米 。 

这 样 的 扫描 设备 的 主要 问题 来 自 于 机 械 部 件 的 成 本 和 可 靠 性 (超过 汽车 的 

命 周期 )。 微 机 械 技术 可 能 指明 了 前 进 的 道路 。 减 少 的 大 小 带 来 了 减少 的 惯 
反 过 来 会 允许 更 高 的 性 能 :1 。 微 镜 阵列 可 以 被 证 明 是 控制 LIDAR 传感器 分 
辩 率 的 一 个 非常 有 用 的 技术 。 微 镜 也 可 以 作为 一 个 分 布 式 扫描 仪 ， 它 可 以 产生 大 
量 的 微 光束 ， 并 从 不 同 的 角度 和 位 置 来 扫描 工作 区 。 




















图 3.3 幅 值 调制 
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3.2.1.4 无 线 电 探测 与 搜索 

无 线 电 探测 与 搜索 (雷达 ) 是 一 种 主动 式 的 传感器 ， 它 发 送 一 个 高 频率 电 
磁 波 ， 并 立即 接收 其 反射 回来 的 回 波 ， 按 照 这 样 处 理 ， 障 碍 物 的 距离 、 方 位 和 速 
度 就 可 以 确定 [1]。 

在 脉冲 模式 下 ， 使 用 多 普 勒 效应 ， 可 以 测量 目标 的 相对 速度 (vw,)， 其 中 频 
移 Af 等 于 2v,f/c。 测 量 距 离 通 过 反射 信号 的 强度 估计 值 来 获得 ， 比 例 因 子 为 
ids 

也 可 以 采用 激光 雷达 、 连 续 波 雷达 ， 但 这 一 次 使 用 频率 调制 ， 因 此 由 多 普 勒 
频 移 引 入 的 模糊 性 被 足够 的 频 域 处 理 抵消 了 。 在 高 频率 (大 概 77GHz) 处 ， 调 
频 连 续 波 (FMCW) 技术 往往 更 经 济 ， 这 是 因为 脉冲 传输 控制 需要 昂贵 组 件 。 
FMCW 还 提供 了 非常 短 距 离 的 捕捉 能 力 ， 因 为 回声 不 断 被 捕获 ， 而 脉冲 调制 应 
用 在 一 次 脉冲 之 后 需要 恢复 时 间 [21 。 

汽车 雷达 用 12° 的 搜索 区 域 可 以 探测 远 达 150m 距离 。 它 们 可 以 测量 的 相对 
速度 高 达 60m/s (215km/h) ， 精 度 是 1%o。 

3.2.1.5 视觉 传感器 

视觉 传感器 提供 高 达 1 百 万 像素 的 2 维 阵列 的 宽 视 野 ， 角 视野 取决 于 光学 器 
件 。 互 补 金属 氧化 物 半 导体 (CMOS) 成 像 器 要 比 电 荷 耦合 器 件 (CCD) 展现 更 
大 的 优势 ， 这 是 因为 前 者 有 一 个 更 广泛 的 〈 非 线性 ) 的 亮度 范围 、 较 低 的 功率 
消耗 和 成 本 ， 并 有 独立 的 像素 处 理 设 施 !13] | ABS (SoC) 技术 帮助 设计 出 
能 够 快速 输出 预 处 理 过 的 基 元 的 集成 设备 ， 然 后 这 个 输出 由 更 高 级 别 的 应 用 程序 
人 处理 [14] > 

立体 视觉 系统 分 析 取 自 略 有 变化 视点 的 两 个 快照 。 适 当 的 算法 匹配 两 幅 快照 
中 的 像素 ， 并 计算 “视差 图 ”"， 追 踪 两 幅 图 像 之 间 的 像素 改变 ( 当 相 机 具有 平行 
的 视线 时 ， 这 种 转变 是 水 平 的 ) 。 如 果 立 体 相 机 被 校准 过 ， 那 么 可 以 根据 视差 图 
重建 目标 的 空间 分 布 。 

相机 的 光学 中 心 之 间 的 测量 标准 一 一 基准 一 一 确定 了 距离 估计 的 有 效 性 。 近 
距离 植 和 人 相机 将 提供 精确 的 短 距 离 估计 ， 但 带 来 小 的 最 大 距离 ， 而 一 个 大 的 基准 
线 将 提供 更 好 的 最 大 距离 ， 但 牺牲 了 短 距离 精度 。 

汽车 市 场 开始 使 用 相机 出 现在 20 世纪 90 年 代 未 期 。 首 次 商业 应 用 之 一 是 车 
道 偏离 警告 一 一 在 2002 年 的 奔驰 货车 上 ， 以 及 2005 年 雪铁龙 的 C4 系列 和 C5 A 
列 汽车 上 ， 其 中 警告 是 由 “触觉 装置 ” (振动 座 椅 ) 执行 的 。 奔 驰 S 级 汽车 在 
2006 年 出 现 了 夜 视 模 块 。 然 而 ， 大 多 数 的 应 用 场合 (在 这 里 再 次 说 明 ) 关注 带 
给 用 户 的 信息 ， 而 不 是 关注 真实 的 控制 。 

立体 视觉 障碍 检测 系统 正在 由 原始 设备 制造 商 (OEM) 供应 商 、 建 造 者 和 
研究 人 员 研 究 ， 正 如 在 一 些 PReVENT 的 子 项 目 比 如 APALACI 上 所 见 到 的 ， 它 们 
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旨 在 检测 易 受 伤害 的 道路 使 用 者 和 行人 安全 与 危险 的 缓解 7]。 

3. 2.1.6 ”全球 导航 卫星 系统 

全 球 定位 系统 (GPS) 是 美国 国防 部 在 1980 年 推出 的 一 个 系统 。 它 提供 这 
个 地 球 上 任何 位 置 上 有 关 时 间 、 位 置 和 速度 的 信息 。24 颗 卫 星 均匀 布置 在 离 地 
面 20200km 高 空 的 、 圆 形 12h 轨道 上 ， 并 与 赤道 平面 倾斜 55°*， 从 而 以 一 个 合理 
的 成 本 提供 一 个 全 球 覆 盖 。 卫 星 使 用 原子 钟 来 保持 时 间 一 致 。 它 们 分 别 使 用 
1227. 60MHz 和 1575. 42MHz 频率 ， 能 够 传输 两 个 微波 载波 。 前 苏联 在 1982 年 已 
经 启动 了 一 个 类 似 的 定位 系统 ， 叫 做 格 洛 纳 斯 ， 而 欧洲 自 2006 FER, 一直 在 
测试 伽利略 系统 ， 并 计划 在 2010 年 投入 使 用 。 伽 利 略 是 欧盟 委员 会 和 欧洲 太空 
总 署 (ESA) 的 一 个 联合 项 目 ， 针 对 民用 ， 它 由 这 些 机 构 和 两 个 私人 财团 资助 . 
Eurely ( EADS/Thales/Inmarsat ) 和 iNavSat ( Alcatel/Finmeccanica/ AENA/ His- 
pasat) 。 伽 利 略 的 30 颗 卫 星 将 普及 公众 定位 服务 ， 精 度 为 5m， 商 业 定 位 服务 精 
度 达 1m， 并 为 一 些 重要 的 民用 应 用 提供 服务 。 

全 球 导 航 卫星 系统 (GNSS) 的 基本 原理 是 三 角 测 量 。 如 果 接 收 器 可 以 估计 
其 本 身 和 几 个 卫星 (它们 的 位 置 是 众所周知 的 ) 之 间 的 距离 ， 那 么 接收 器 必须 
位 于 一 个 立体 内 ， 且 定义 为 每 个 卫星 球体 中 心 与 半径 等 于 相应 估计 距离 的 交叉 。 
后 者 通过 估算 发 射 卫星 和 接收 器 之 间 的 传输 时 间 来 得 到 。 发 出 的 消息 包含 一 个 与 
绝对 接收 时 间 对 比 的 时 间 戳 ， 且 接收 占 与 24 颗 卫 星 是 同步 的 。 这 个 时 间 必 须 非 
常 精确 ， 因 为 ， 在 光速 下 lus 的 误差 将 导致 300m 的 偏 移 。 

在 图 3.4 中 ，GPS 接收 器 的 定位 通过 使 用 先 验 信 息 来 计算 : 由 卫星 传递 的 位 
置 pl 、p; 和 p3， 和 估计 的 伪 距 x、r, 和 rs， 根 据 信 号 传输 的 时 间 来 获取 。 接 收费 
位 于 球体 的 交叉 点 ,球体 中 心 分 别 在 pl 、ps 和 ps3， 它们 的 半径 分 别 等 于 r r 
ys 
































到 3.4 GPS 三 角 测量 
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为 了 得 到 球体 中 心 的 精确 位 置 ， 卫 星 传输 它们 的 实时 轨道 ， 因 而 使 得 偏离 名 
义 轨道 的 偏差 不 会 转嫁 到 接收 器 的 位 置 估计 上 。 此 外 ， 为 了 获得 球体 半径 的 精确 
估计， 接收 器 和 卫星 的 时 钟 必须 同步 ， 可 以 通过 复杂 的 分 布 式 算法 来 降低 接收 髓 
的 时 钟 漂移 。 

定位 基站 使 用 各 种 精细 调谐 系数 ， 可 以 提供 额外 的 信息 来 纠正 各 种 错误 ， 比 
如 电离 层 (50 ~500km 高 度 ) 折射 ， 它 稍微 扭曲 了 光 的 轨迹 ， 并 在 电磁 波 实 际 
路 径 和 简化 的 直接 路 径 之 间 引 入 了 漂移 。 电 离 层 的 修正 必须 连续 传播 播放 ， 因 为 
几何 问题 是 永久 性 的 ， 虽 然 它 属于 缓慢 、 渐 进 的 。GPS 定位 系统 接收 来 自 基 站 的 
修正 ， 被 称 为 益 分 GPS (DGPS), 

男 一 个 常见 的 误差 源 是 电磁 波 的 掩蔽 /反射 ， 如 果 直 接 射 线 虽然 被 一 个 障碍 
物 挡 了 下 来 ， 而 反射 波 仍然 到 达 了 接收 器 ， 则 间接 路 径 的 长 度 将 会 用 于 计算 ， 这 
将 导致 估计 位 置 的 跳跃 (差错 )。 低 通 滤波 器 通常 用 于 最 小 化 位 置 估 计 的 任何 突 
然 变 化 。 

常用 的 汽车 GNSS 传感器 提供 10m 的 位 置 测量 精度 。 使 用 定位 修正 传输 到 接 
We (DGPS), 1m 的 精度 很 容易 获得 ， 而 高 端 接 收 器 如 实时 运动 GPS (RTK) 
可 以 提供 厘米 级 估计 精度 。 


3.2.2 传感器 融合 


3.2.2.1 介绍 

传感器 融合 的 过 程 是 使 用 多 个 传感器 提供 车 辆 的 状态 和 它们 的 环境 的 估计 。 
数据 融合 的 主要 困难 是 汇总 数据 通常 有 异步 时 间 表 ， 并 提供 部 分 的 和 哺 杂 的 传 感 
带 数 据 。 如 果 数 据 融 合算 法 在 迭代 一 个 周期 之 前 同步 所 有 数据 ， 那 么 它 可 能 引入 
大 的 延迟 ， 牺 牲 了 系统 可 探 性 或 造成 反应 延迟 。 

3.2.2.2 传感器 融合 用 于 提高 定位 

定位 问题 是 异 构 传 感 句 数据 融合 的 一 个 很 好 的 案例 。 用 于 定位 系统 的 传 感 需 
可 以 是 绝对 的 或 相对 的 。 绝 对 位 置 传感器 GNSS 或 人 工 路 标 等 提供 有 界 不 确定 ， 
但 对 于 汽车 控制 应 用 来 说 ， 通 常 没有 足够 的 精度 或 刷新 率 。 相 对 位 置 传感器 ， 比 
如 雷达 、 激 光 雷 达 、 相 机 、 递 增 计数 需 〈 测 量 车 轮 旋转 、 执 行 “ 里 程 表 ”测量 ) 
以 及 超声 波 收发 融通 常 是 准确 的 。 

即使 初始 位 置 确信 是 已 知 的 ， 然 而 相对 的 专用 传感器 总 是 导致 无 界 的 不 确定 
性 。 这 就 是 所 谓 的 “ 船 位 推算 漂移 问题 。” 

融合 绝对 和 相对 传感器 是 获得 绝对 和 精确 位 置 的 一 种 手段 。 卡 尔 曼 滤波 器 
(KF) 理论 可 以 收 到 良好 的 效果 ， 因 为 这 估计 量 是 最 优 的 !5] 。 对 于 每 一 个 步骤 ， 
移动 位 置 分 布 的 一 个 先 验 的 预测 叫做 信任 度 函 数 ， 根 据 过 去 的 测量 与 信任 度 、 执 
行 句 指令 与 内 在 自我 表征 (系统 模型 和 传 感 锅 模型 ) 来 计算 。 当 收集 到 一 组 新 
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的 传感器 数据 后 ， 蔬 测 修正 为 下 一 个 周期 的 信任 度 函 数 。 这 就 解释 了 为 什么 卡尔 
SUE ae (KF) 通常 归 类 为 预 佑 状态 估计 量 滤波 表 。 

在 常用 的 现代 导航 应 用 中 ， 当 10m 精度 的 GPS 和 里 程 计 融合 后 ， 它 们 可 以 
提供 接近 lm 的 估计 精度 ， 因 此 非常 适合 咨询 导航 系统 。 使 用 昂贵 的 传感器 或 修 
ERS (这 意味 着 某 种 形式 的 通信 ) 可 以 把 精度 提高 到 10cm， 因 此 适用 于 车 辆 
控制 系统 [1 。 


3.2.3 无 线 网 络 技术 


无 线 通信 技术 应 用 于 汽车 世界 带 来 新 的 应 用 ， 如 导航 、 车 队 管理 、 收 费 设施 
和 道路 安全 。 目 前 推 向 市 场 的 所 有 应 用 依赖 于 使 用 私人 网 络 或 协议 的 车 辆 至 基础 
设施 (V21) 的 数据 交换 。 车 辆 至 车 辆 (V2V) 的 标准 正在 研究 。 考 虑 到 车 辆 数 
以 百 万 计 、 寿 命 预 期 10 年 或 更 久 ， 而 且 技 术 在 不 断 进 化 中 ， 所 以 通信 系统 及 其 
相关 协议 必须 匹配 重要 的 可 靠 性 、 可 扩展 性 和 灵活 性 的 要 求 。 因 此 ， 七 层 开放 系 
统 互 联 (OSL) 的 顺应 性 对 于 未 来 V2V 通信 技术 的 互 操 作 性 将 是 一 个 重要 的 
问题 。 

IPv6 路 由 (第 三 个 0SI 层 ) 可 以 发 挥 重要 作用 ， 因 为 这 个 协议 解决 了 如 
Wifi (IEEE802. 11) 与 Wimax (IEEE802.16) 无 线 网 络 和 蜂窝 网 络 [ 全球 移 动 
通信 系统 (CSM) 通信 、 通 用 分 组 无 线 服 务 (GPRS) 、 通 用 移动 通信 系统 
(UMTS) ] ， 并 通过 异 构 节 点 简化 了 数据 的 路 由 ， 同 时 又 减少 了 开销 ， 因 为 这 个 
协议 是 “物理 层 不 可 知 论 者 ”" ， 它 还 提供 了 兼容 网 络 移动 性 的 路 由 协议 [ 见 互联 
网 国际 工程 的 网 络 移动 性 (IETF NEMO) 规范 ] ， 且 和 随意 网 络 兼容 ，[ 见 IETF 
移动 随意 网 络 (MANET) 的 规范 1"1] 。 服 务 质量 将 是 一 个 车 辆 通信 中 的 重要 问 
题 ， 由 于 车 辆 密度 峰值 ， 如 遇 到 交通 拥挤 时 ， 会 导致 数字 网 络 交通 拥挤 。 适 当 的 
策略 是 必要 的 ， 以 便 优先 级 得 到 妥善 处 理 ， 且 必要 的 信息 仍 在 传播 。 

这 些 通信 技术 的 集成 现在 通过 诸如 CVIS"!8! 和 SafeSpot! 9! 等 项 目 进 行 更 加 集 
中 的 处 理 ， 旨 在 提高 交通 效率 和 安全 性 ， 同 时 又 减少 污染 、 并 设计 更 高 效 的 车 队 
管理 系统 。 


3.2.4 智能 控制 应 用 


传统 的 执行 器 以 直接 的 方式 执行 驾驶 人 的 命令 ， 而 电子 控制 单元 (ECU) 
可 以 提高 它们 超越 人 类 。 人 力 驱 动 带宽 ，10Hz 可 以 被 视 为 一 个 上 界 ， 它 很 容易 
被 机 电 设备 超越 。 接 下 来 的 案例 展示 了 “智能 控制 ”如 何 可 以 大 大 增强 制 动 系 
统 的 输出 。 

3.2.4.1 防 抱 死 制 动 系统 

汽车 防 抱 死 制 动 系统 (ABS) 是 由 Teldix 公司 在 20 世纪 60 年 代 引 入 ， 在 博 
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世人 公司 购买 该 专利 并 提高 它 的 性 能 之 前 ，ABS 经 过 了 一 代 又 一 代 的 完善 。 该 系 
统 可 以 激活 和 松 开 每 个 制动器 50 次 /s。 这 种 精细 控制 使 每 个 轮胎 获得 最 优 纵向 
和 令 人 满意 的 横向 附着 ， 制 动 距离 最 小 化 ， 而 操纵 性 又 可 以 接受 。 

接近 最 优 的 紧急 制 动 是 通过 保持 接近 最 大 摩擦 力 值 、 但 没有 超越 最 大 值 ， 这 
是 因为 该 状态 意味 进入 了 导致 抱 死 车 轮 状态 的 一 个 不 稳定 区 域 。ABS 控制 算法 
保证 功能 点 保持 在 如 图 3.5 所 示 的 边界 4 AB 之 间 。 当 制 动 启动 时 ， 和 车 辆 动力 学 
和 摩擦 定律 快速 滑 过 工 况 点 (从 0 到 5 点 )， 导 致 最 后 50% 制 动力 系数 和 100% 
WER (车 轮 被 抱 死 ) 。 如 果 松 开 制 动 踏板 ， 那 么 滑 移 是 逐步 减少 到 零 的 。 如 果 
存在 足够 的 启动 恢复 率 ， 那 么 制 动 效 果 可 以 保持 在 一 个 较 高 的 水 平 。 

另 一 种 ABS 的 方案 ， 正 如 线 控制 动 系统 所 使 用 的 ， 采 用 连续 控制 律 代 替 继 
电器 式 控 制 驱动 来 控制 制 动 踏板 的 压力 。 








制 动 效果 系数 /转向 力 系 数 


ABS 工 作 范 围 














图 3.5” 制 动 效率 


3.2.4.2 车身 电子 稳定 程序 系统 

作为 ABS 的 一 个 扩展 ， 车 身 电子 稳定 程序 (ESP) 系统 在 危险 时 刻 给 出 最 
佳 偏 航 (摆动 ) 控制 ， 在 转向 角 、 各 个 车 轮 速度 和 发 动机 功率 之 间 引 入 校正 来 
优化 转弯 时 的 轨迹 控制 ， 并 通过 微调 单个 车 轮转 速 ， 避 免 转 向 不 足 (费力 通过 ) 
和 过 度 转向 〈 甩 尾 ) 。 车 辆 增加 的 可 控 性 超越 了 人 类 的 能 力 ， 而 且 它 只 能 使 用 数 
字 技 术 ， 如 内 部 状态 表示 和 估计 。 
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3.2.4.3 REAR 

线 探 技 术 是 一 个 通用 术语 ， 它 指定 用 电子 架构 来 削弱 传统 的 机 械 和 液压 执行 
器 及 中 间 组 件 、 并 将 其 蔡 换 为 电子 和 电气 组 件 ， 然 后 只 通过 电缆 连接 在 一 起 ， 并 
用 其 作为 信息 和 动力 的 载体 (或 媒介 )。 线 控 技术 打开 了 通 向 增强 舒适 性 、 同 时 
也 增强 了 控制 应 用 的 可 能 性 ， 甚 至 推进 了 车 辆 性 能 ， 这 是 因为 它们 在 可 能 牺牲 可 
靠 性 的 代价 下 引入 了 全 电子 执行 器 控制 。 自 20 世纪 90 年 代 中 期 以 来 ， 线 控 技术 
联盟 一 直 在 负责 定义 标准 架构 ， 提 升 这些 技 术 的 长 处 加 2 。 

TE SPARC 项 目 期 间 5,21 所 开发 的 SPARC 线 探 技术 原型 ， 拓 展 和 融合 了 整 车 
控制 句 中 的 经 典 ABS 和 ESP 功能 ， 它 针对 增强 的 系统 指令 能 力 ， 协 调 了 制 动 和 
转向 动作 。 可 靠 性 问题 是 通过 系统 使 用 双 组 件 (ECU 的 使 用 翻 了 两 番 ) 以 及 
FlexRay 确定 的 与 容错 的 多 路 复 用 总 线 。 


3.2.5 最 新 的 驾驶 辅助 系统 


通过 使 用 传感器 和 由 ECU 控制 的 执行 器 的 帮助 下 ， 众 多 形式 的 辅助 系统 现 
在 出 现在 车 上 。 出 现在 汽车 上 的 第 一 个 驾驶 人 辅助 系统 就 是 汽车 车 轮 防 抱 死 系统 
(通常 称 为 ABS， 它 是 博世 公司 旗下 的 一 个 品牌 ) 。 虽 然 对 很 多 种 机 械 和 液压 系 
统 进 行 了 测试 ， 但 是 直到 20 世纪 60 年 代 电 子 传感器 与 控制 单元 的 到 来 才 解 决 了 
这 个 问题 。 

从 那 时 起 直到 20 世纪 90 年 代 后 期 , 已 经 引入 的 一 些 新 功能 控制 了 汽车 以 改 
善 安全 和 和 舒适 性 。 然 而 ， 最 近 ， 已 经 出 现 了 新 系统 来 控制 各 种 工 况 下 的 速度 和 / 
或 转向 。 

最 先 出 现 的 系统 之 一 就 是 现在 命名 的 ACC。 这 是 一 个 提高 标准 的 巡航 控制 
系统 ， 它 把 车 辆 的 速度 调整 到 一 个 设 定 值 。ACC 还 试图 保持 速度 ， 但 这 是 在 较 
慢 的 车 辆 、 相 同 的 车 道 工 况 下 ， 然 后 设 定 调节 与 这 辆 车 有 关 的 距离 。 通 过 使 用 距 
离 和 /或 相对 速度 传感器 〈 雷达 或 激光 雷达 ) ， 控 制 单元 通过 调节 发 动机 功率 或 
踩 制 动 踏板 来 调节 车 速 。 这 项 技术 是 欧洲 普罗 米 修 斯 工程 中 首次 开发 和 演示 的 技 
RISI, 第 一 个 系统 出 现在 市 场 上 (在 日 本 ) 是 20 世纪 90 年 代 ， 它 在 恶劣 天 气 
下 表现 不 佳 ( 由 于 使 用 激光 雷达 ) ， 且 传感器 跟踪 丢 了 目标 车 辆 。 基 于 雷达 和 使 
用 旋转 信息 或 视觉 考虑 道路 的 转弯 半径 的 新 系统 ， 具 有 更 好 的 性 能 ， 甚 至 具备 了 
“ 走 走 停 停 的 ”特色 功能 ， 它 在 拥挤 的 环境 中 是 一 项 重要 的 应 用 。 使 用 类 似 技术 
的 最 新 功能 是 先进 的 障碍 检测 和 预 碰撞 检测 ， 这 要 归功 于 雷达 和 立体 相机 之 间 的 
TERA, 

现在 的 新 功能 关注 使 用 电动 转向 执行 器 和 电子 控制 器 的 汽车 路 线 导向 装置 。 
出 现在 市 场 上 首次 应 用 之 一 就 是 车 道 保持 ， 其 中 车 辆 的 车 道 位 置信 息 通过 图 像 处 
理 来 获得 。 使 用 这 个 位 置 ， 可 以 计算 出 误差 ， 并 把 转 矩 作用 在 转向 盘 上 ， 从 而 把 
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车 辆 带 回 车 道 的 中 心 。 此 刻 ， 它 只 是 协助 负责 驾驶 车 辆 的 这 驶 人 ， 使 他 或 她 感到 
安全 ， 因 为 汽车 “希望 ” 呆 在 车 道中 间 [*|。 

使 用 相同 的 电动 转向 执行 机 构 和 视觉 传感器 可 以 重建 车 辆 周围 的 三 维 空间 ， 
更 壮观 的 应 用 现在 已 经 被 引入 到 最 先进 的 车 辆 停车 帮助 。 使 用 车 辆 内 的 一 个 或 几 
个 相机 获得 的 三 维 信息 ， 并 以 超声 波 作 为 补充 传感器 ， 计 算 机 就 能 生成 最 优 轨 迹 
来 执行 停车 操纵 的 转向 操作 。 驾 驶 人 仅 需 控制 他 或 她 的 车 速 就 行 [*| 。 














3.3 ”可 靠 性 问题 


3.3.1 介绍 


可 靠 性 是 一 个 通用 术语 ， 它 和 一 个 系统 或 子 系统 功能 和 不 正常 功能 的 属性 有 
关 。 可 靠 性 属性 最 经 常 被 指 为 “可 靠 性 ”的 首 字母 缩写 一 -RAMS: 指 的 是 系统 
的 连续 性 服务 ， 且 往往 由 平均 故障 间隔 时 间 (MTBF) 来 衡量 ; “有 效 性 ” 指 的 
是 一 个 系统 的 准备 服务 时 间 ; “可 维护 性 ” 指 的 是 一 个 系统 从 故障 中 恢复 的 能 
力 , 往往 用 它 的 平均 维修 时 间 (MTBR) 来 衡量 ; “安全 性 ” 指 的 是 灾难 性 ( 致 
fit) 失败 的 风险 ， 它 是 概率 和 严重 性 的 组 合 。“ 安 全 ”也 可 能 会 提 到 ， 它 是 作为 
一 个 授权 的 已 知 用 户 操作 系统 的 能 力 ， 并 抵抗 恶意 攻击 。 

认证 和 许可 制度 将 保证 智能 车 辆 在 公路 上 行驶 具备 在 可 接受 的 范围 内 的 属 
性 。 这 些 规范 在 不 断 完善 中 ， 就 关注 的 欧洲 标准 而 言 ， 它 们 集成 了 越 来 越 多 的 强 
制 性 要 求 ， 如 安全 带 (1979 年 ) 、 电 子 防盗 控制 系统 (1995 年 ) M ABS (2003 
年 )。 

制造 商 和 供应 商 进 行 了 大 量 的 硬件 和 软件 架构 标准 的 研究 ， 正 如 我 们 看 到 的 
MISRA 、 汽 车 开放 系统 架构 (AUTOSAR) 、 线 控 联 盟 [2?.”,3] ， 它 们 定义 了 高 质 
量 安全 相关 系统 设计 的 指导 方针 和 标准 。 在 线 控 技 术 工 况 中 ， 当 缺乏 机 械 内 在 安 
全 的 足够 证 据 被 当局 接受 时 ， 这 些 指 导 方 针 可 能 成 为 新 的 认证 标准 。 

然而 ， 大 多 数 情况 下 ， 现 有 的 认证 标准 对 汽车 创新 是 宽容 的 。 对 创新 的 阻力 
可 以 在 责任 问题 、 消 费 者 接受 度 和 有 时 不 匹配 的 确认 相关 的 需求 中 找到 。 责 任 问 
题 使 制造 商 / 供 应 商 / 客 户 之 间 潜 在 的 斗争 一 触 即 发 。 除 非 功 能 安全 问题 一 一 系统 
故障 一 一 得 到 满足 和 证 明 ， 驾 驶 人 的 责任 一 般 是 被 关注 的 。 数 据 记 录 设 备 对 即将 
到 来 的 责任 的 讨论 是 有 效 的 解决 方法 ,而 且 自 安全 气 圳 系统 引入 以 来 ， 该 方法 早 
已 使 用 [27,233]， 


3.3.2 故障 -安全 的 汽车 运输 系统 
高 效 的 交通 系统 意味 着 总 动能 和 潜在 的 灾难 性 的 (致命 的 ) 事故 。 对 交通 
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系统 及 其 用 户 来 说 ， 事 故 的 根源 可 以 是 外 在 的 或 内 在 的 。 总 体 安 全 水 平 是 通过 在 
各 个 层面 执行 的 风险 减少 分 析 以 防止 灾难 性 事件 的 发 生来 取得 的 : 

© 提高 内 在 系统 的 可 靠 性 〈 强 化 硬件 和 软件 组 件 ) 。 

© 从 系统 的 运营 基础 设施 中 排除 潜在 威胁 。 

。 定义 适当 的 操作 程序 ， 防 止 用 户 不 当 使 用 该 系统 。 

在 这 些 层面 中 ， 汽 车 应 用 通常 比 铁路 或 航空 运输 系统 有 较 少 的 解决 方案 ， 这 
是 因为 : 

。 成 本 和 空间 约束 限制 了 使 用 元 余 。 

。 道路 基础 设施 是 完全 开放 的 。 

© 大 部 分 车 驶 人 都 不 是 “专业 人 士 ”。 

交通 系统 称 为 “故障 - 安全 ”系统 ， 当 发 生 的 失效 导致 一 个 安全 状态 时 ， 
限制 运输 服务 是 被 允许 的 。 在 铁路 交通 系统 中 ， 通 过 停止 火车 来 达到 一 个 安全 状 
态 。 全 球体 系 设计 可 以 防止 其 他 列车 进入 HOLC 距离 〈 它 大 于 停止 车 辆 后 面 的 
最 大 停车 距离 ) 。 

在 航空 运输 中 ， 故 障 通过 元 余 来 处 理 。 任 何 关键 组 件 是 三 倍 或 四 倍 的 匈 余 ， 
且 失 效 的 组 件 通过 投票 机 制 从 控制 循环 中 排除 。 

对 于 汽车 运输 系统 来 说 ， 经 历 一 场 骨 省 更 加 复杂 。 然 而 ， 从 其 他 车 辆 的 观点 
来 看 ， 停 的 车 就 是 一 个 障碍 。 换 名 话说， 在 车 辆 层面 适当 的 故障 处 理 并 不 总 是 足 
以 根除 这 个 问题 ， 且 后 者 在 车 队 层面 有 共鸣 。 

几 种 高 级 的 驾驶 人 辅助 系统 (ADAS) 正在 研究 ， 且 带 入 了 市 场 ， 目 的 是 为 
了 检测 障碍 并 协助 避免 碰撞 道路 上 的 故障 车 辆 。 尽 管 有 警告 ， 但 当 车 辆 进入 不 可 
避免 的 碰撞 状态 CICS) 时 '3]， 在 碰撞 发 生 之 前 ， 合 适 的 行动 可 以 帮助 和 减轻 
“被 动 安全 ”最 后 一 刻 之 前 的 损害 。 不 可 避免 的 碰撞 检测 、 上 自动 制 动 、 安 全 带 预 
紧 以 及 预期 的 安全 气 赛 点 火 ， 是 今天 智能 车 辆 应 用 面临 的 一 些 挑 战 。 进 入 ICS 起 
源 于 一 个 障碍 “ 搬 ” 到 了 车 辆 的 危险 区 域内 ， 比 如 倒 在 道路 上 的 一 棵 树 或 男 一 
辆 表现 狂 野 的 车 。 如 果 汽 车 还 可 以 输入 ICS， 那 是 因为 它 对 实际 的 时 空 距离 认识 
不 足 ， 也 许 是 由 于 传感器 故障 或 由 于 障碍 隐藏 在 一 条 曲线 的 背后 。 

V2V 与 V2I 的 通信 技术 带 来 了 新 的 应 用 、 提 高 了 安全 ， 并 为 防止 其 他 车 辆 






































进入 ICS 提供 了 解决 方案 : 

o 停 的 车 可 以 广播 或 “道路 广播 ” 给 距离 范围 内 的 所 有 车 辆 发 出 警告 
信号 。 

。 事故 可 以 上 传 到 相应 的 交通 监控 中 心 系 统 ， 且 进入 附近 的 车 辆 ， 可 以 再 
次 下 载 。 











。 推 而 广 之 ， 如 果 有 足够 的 带宽 可 用 ， 那 么 每 辆 车 应 该 道路 广播 它们 的 轨 
迹 ， 以 提供 元 余 的 环境 感知 。 
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这 些 应 用 拥有 强大 的 安全 方面 的 改进 潜力 ， 这 是 因为 它们 在 ICS 出 现 之 前 工 
作 ， 且 从 根源 上 解决 问题 ， 而 不 是 试图 影响 ,在 “感知 ”范围 内 ， 它 可 以 远 远 
超出 自然 范围 或 传感器 技术 。 在 这 个 意义 上 ， 通 信 技 术 在 汽车 安全 问题 上 提出 了 
新 思路 。 此 外 ， 它 们 提供 了 一 个 全 局 的 方法 。 “故障 -安全 的 汽车 运输 系统 ”的 
设计 现在 达到 车 队 的 规模 。 整 体 安全 水 平 将 取决 于 传感器 技术 、 控 制 器 与 执行 器 
的 可 靠 性 ， 以 及 整个 车 队 的 信息 传播 效率 ， 详 情 请 见 CityMobil WRM H, 


3.3.3 智能 汽车 诊断 


故障 检测 能 力 对 交通 系统 和 它 的 用 户 的 生存 能 力 至 关 重要 。 故 障 检测 的 首次 
经 典 应 用 是 植 人 恰当 的 传感器 ， 来 监控 系统 和 子 系统 的 物理 参数 ， 从 而 得 到 系统 
和 子 系统 的 健康 概述 。 轮 胎 压 力 或 发 动机 温度 传感器 是 监测 和 诊断 应 用 的 最 好 直 
接 案例 。 

常见 的 故障 检测 和 诊断 应 用 是 基于 案例 的 : 设计 的 简单 规则 是 为 了 判断 是 否 
发 后 了 故障 ， 诊 断 时 可 以 使 用 阔 值 、2D 域 信息 等 。 一旦 检测 到 故障 ， 那 么 故障 
会 记录 到 ECU 中 ， 并 根据 它 的 权重 ， 和 警报 可 能 会 立即 显示 给 驾驶 人 。 

作为 应 对 软件 占 优 的 汽车 系统 应 用 的 增加 ， 还 必须 检测 由 外 部 因素 (RE, 
电磁 交互 和 导线 断裂 ) 触发 的 执行 故障 。 为 了 确保 ECU 的 命令 能 够 都 以 这 样 的 
方式 发 送 和 接收 ， 引 入 宛 余 是 可 能 的 ， 它 可 以 是 信息 或 硬件 元 余 ， 以 便 不 一 致 被 
发 现 ， 且 适当 的 备用 行为 被 触发 。 在 大 多 数 情况 下 ， 受 成 本 、 空 间 和 上 市 时 间 的 
AR, EER ECU 宛 余 无 法 进入 大 多 数 汽 车 应 用 场合 。 因 此 ， 宛 余 通 常 是 在 单 
一 ECU 上 实现 的 。 对 输入 而 言 ， 接 收 ECU 可 以 检查 宛 余 信和 号 的 一 致 性 ， 并 当 它 
们 不 匹配 时 ， 激 活 适当 的 程序 [例如 ,日 志 默 认 值 、 提 醒 驾 驶 人 、 停 止 (F) 
系统 的 活动 ] 。 对 输出 而 言 ， 一 个 反馈 机 制 被 引导 指 癌 微 处 理 絮 的 输入 。 合 令 输 
出 和 测量 输出 之 间 的 不 一 致意 味 着 输出 故障 或 反馈 回路 故障 。 不 管 原因 是 什么 ， 
如 果 只 能 通过 引入 额外 的 (和 易 出 故障 的 ) 观测 点 来 确定 ， 那 么 整体 输出 设备 
被 认为 是 有 缺陷 的 。 

更 复杂 的 诊断 应 用 是 现场 试验 ， 比 如 断裂 检测 ， 它 使 用 识别 技术 评估 和 监控 
不 能 直接 观测 到 的 参数 ， 比 如 悬 架 阻尼 和 刚度 系数 ， 目 的 是 采用 基于 模型 的 机 械 
故障 检测 算法 来 检测 迫在眉睫 的 缺陷 531 。 

一 些 研究 在 有 线 网 络 诊断 领域 中 展开 ， 比 如 在 灵巧 嵌入 式 电子 诊断 系统 项 目 
(SEEDS) 中 ， 构 入 式 反 射 计 人 蕊 片 是 用 于 监控 般 入 式 线束 的 状况 。 后 者 可 能 代表 
T 4km 长 的 线束 ， 它 是 系统 故障 的 主要 来 源 532] 。 

因为 舰 入 式 功能 通常 分 布 在 几 个 ECU 上 ， 因 此 很 难 确定 是 哪 一 个 ECU 造成 
了 一 个 功能 失效 。 男 一 方面 ，ECU 通常 参与 几 个 功能 ， 且 一 个 失效 的 ECU 可 能 
意味 着 超过 一 个 功能 失效 。 引 入 不 同 默认 值 之 间 的 相关 性 是 提高 诊断 的 一 种 有 效 
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的 方法 ， 可 以 从 本 地 视角 切换 到 系统 的 视角 ; 模糊 逻辑 和 神经 网 络 可 以 帮助 开发 
系统 级 的 诊断 功能 1331 。 


3.4 完全 自动 的 车 : 梦想 还 是 现实 9 


为 了 满足 21 世纪 流动 性 (人员 和 货物 ) 的 挑战 ， 一 种 新 形式 的 运输 需要 发 
展 。 我们 相信 ， 新 的 传输 技术 将 主要 基于 自动 化 的 道路 运输 ， 它 们 将 利用 现 有 的 
基础 设施 和 新 道路 。 重 点 将 是 一 个 层次 网 络 ， 它 具有 非常 高 的 链接 能 力 、 优 化 和 
需求 控制 。 目 标 是 对 任何 人 (或 任何 物体 ) 提供 门 到 门 运输 ， 且 在 任何 时 间 ， 
但 以 不 同 的 成 本 (取决 于 所 使 用 的 运输 模式 ) 实现 。 这 些 技术 正在 发 达 国 家 通 
过 CyberCars 和 CityMobil 等 几 个 欧洲 项 目 (JIL www. cybercars. org 和 www. citymobil- 
sae eu) 来 研发 。 紧 接着 欧洲 层面 的 建议 ， 有 若干 个 系统 正 处 于 实施 状 

[34035] 。 本 节 将 试图 探索 这 些 系 统 的 长 远 未 来 。 


3.4.1 自动 化 道路 车 辆 


自动 化 的 道路 运输 将 包括 各 种 类 型 的 车 辆 ， 也 就 是 今天 在 现 有 道路 基础 设施 
上 出 现 的 人 工 驾 驶 车 辆 。 我 们 的 目标 是 优化 系统 的 效率 。 因 此 ， 根 据 特定 道路 链 
接 需 求 ， 用 户 将 被 鼓励 (可 以 通过 定价 ) 乘坐 一 个 高 容量 的 车 辆 。 这 可 能 意味 
着 车 辆 的 变化 ， 因 为 大 容量 车 辆 将 不 能 实现 门 到 门 的 营运 ， 它 将 运行 在 特定 的 路 
线 上 。 这 些 高 容量 车 辆 就 像 公 共 汽 车 (50 ~ 100 个 乘客 ) ， 但 这 些 公 共 汽 车 有 能 
力 形 成 紧密 的 联系 群 ， 并 具有 非常 高 的 组 合 容量 (类 似 于 郊区 列车 ， 具 有 合理 
设计 的 平台 ) 。 这 些 大 容量 车 辆 的 最 高 速度 在 城市 环境 中 应 该 大 约 是 100km/h, 
对 于 城 际 旅行 ， 可 以 考虑 高 速 车 辆 (200km/h)。 早 期 型 号 的 车 辆 早已 在 营运 中 
(Phileas, CVIS 和 IMTS 等 ， 如 图 3.6 所 示 ) ， 它 们 来 自 快速 公交 系统 (BRT) 的 
概念 ， 在 横向 运动 及 有 时 的 纵向 运动 方面 具有 先进 的 技术 指导 ， R 
作 。 必 须 指出 ， 在 最 近 的 研究 中 已 经 提出 BRT 作为 发 展 中 城市 减少 GHG 的 “ 
佳 选项 ” 196) 。 

对 于 货 SYNA, 我 们 应 该 具有 类 似 大 小 的 车 辆 ， 为 标准 容器 运输 而 设计 的 
车 辆 。 

第 二 种 类 型 的 车 辆 将 是 个 人 车 辆 ， 尺 寸 从 1 个 乘客 到 10 个 乘客 之 间 变 化 ， 
它们 可 以 是 私家 或 公共 的 (尽管 需要 私 八 车 辆 将 非常 有 限 ， 因为 在 公共 车 辆 上 
的 服务 应 该 非常 相似 ， 且 便宜 得 多 )。 这 些 cybercars (图 3.7)， 当 它们 被 召唤 
时 ， 会 根据 顾客 需求 操作 (包括 车 辆 类 型 的 选择 ) ， 从 一 个 位 置 到 目的 地 ， 或 到 
高 容量 车 辆 ， 或 到 高 速 链接 (如 火车 站 或 机 场 ) ， 中 间 没 有 停 吹 。 同 等 规模 的 车 
辆 将 被 用 于 交付 货物 、 实 施 门 到 门 服务 ， 甚 至 可 能 使 用 具体 的 各 种 标准 大 小 的 容 
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3.6 (HA) 东京 的 IMTS 








3.7 SA (印度 ) Robosoft 的 CyCabs 


器 来 收集 垃圾 。 这 些 容 絮 的 处 理 是 自动 的 。 这 一 趋势 遵循 汽车 共享 计划 的 发 
展 [”i 和 城市 电动 汽车 产品 分 布 AH) D, 
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3.4.2 自动 化 道路 网 络 


与 今天 的 传统 车 辆 一 样 ， 自 动 化 的 道路 网 络 CARN) 汽车 将 使 用 不 同类 型 
道路 的 结合 。 目 标 是 具有 按照 需求 的 不 同 容量 和 速度 的 网 络 ， 来 优化 给 定 成 本 下 
的 旅行 时 间 和 容量 。 

网 络 毛 细 血 管 将 是 今天 现 有 的 街道 ， 它 可 能 是 稍微 重新 设计 ， 以 改善 城市 美 
学 和 行人 空间 。 需 要 开辟 一 些 可 用 的 临时 停车 空间 ， 以 方便 乘客 上 下 车 或 装 御 物 
品 。 因 为 行人 、 骑 自行 车 者 和 一 些 人 工 驾驶 车 辆 可 能 共享 这 些 空间 ， 所 以 个 人 自 
动 化 道路 车 辆 在 低速 时 将 使 用 这 些 “毛细 血管 ”( 低 于 30kmvh) 。 

下 一 个 道路 层次 将 是 今天 的 动脉 ， 它 们 将 设计 成 高 容量 。 虽 然 高 容量 车 辆 在 
高 峰 时 间 具 有 优先 权 (通过 定价 ) ， 但 城市 交通 动脉 将 被 高 容量 车 辆 以 及 个 人 车 
辆 使 用 。 这 些 动脉 将 被 重新 设计 ， 确 保 以 最 低 的 风险 获得 最 佳 的 速度 ， 它 们 正如 
今天 的 轻轨 或 BRT 完成 的 工作 。 在 某 些 情况 下 ， 它 们 可 能 会 与 行人 完全 分 离开 
来 (图 3.8)。 因 为 本 地 的 、 个 人 车 辆 应 该 可 以 用 于 旅行 的 最 后 一 段 (或 第 一 
段 ) ， 所 以 车 站 (和 个 人 自动 化 车 辆 的 出 口 ) 应 该 有 相当 大 的 间隔 ， 以 确保 高 
速 。 在 车 站 ， 乘 客 将 非常 方便 地 从 集体 车 辆 换 乘 到 个 体 车 辆 上 ， 反 之 亦 然 。 











3.8 ULTra 轨道 


ARN 的 最 后 一 层 由 一 个 新 的 基础 设施 构成 ， 它 是 专门 为 自动 化 车 辆 建造 的 。 
这 将 是 一 个 轻型 基础 设施 ， 完 全 隔离 ， 但 有 人 口 点 和 出 口 点 连接 到 ARN 的 另 两 
个 层次 上 。 这 个 基础 设施 主要 在 地 面 之 上 ， 今 天 建造 成 个 人 快速 运输 (PRT) 。 
今天 的 高 速 公路 将 完全 (如果 人 工区 驶 车 辆 仍然 允许 的 话 ， 那 么 或 将 部 分 ,或 
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保留 一 个 车 道 ) 转换 成 ARN， 车 站 就 位 于 今天 的 一 些 换 乘 站 。 
3.4.3 自动 化 道路 管理 


就 合理 营运 自动 化 道路 运输 来 说 ， 至 关 重 要 的 是 系统 的 所 有 部 件 必 须 妥 善 管 
理 ， 以 获得 最 好 的 效率 并 更 好 地 服务 用 户 。 一 般 原 则 是 满足 大 多 数 需求 ， 与 此 同时 
要 成 本 最 小 化 。 因 为 在 特定 时 候 运输 需求 可 以 超过 和 运力， 所 以 必须 应 用 某 种 形式 的 
需求 管理 。 在 一 个 自由 的 社会 中 ,很 可 能 这 种 控制 将 通过 某 种 形式 的 定价 来 实现 。 

因为 同时 移动 大 量 的 个 人 (或 商品 ) 的 效率 比较 高 效 ， 所 以 只 要 可 以 证 明 大 
型 车 辆 的 使 用 需求 ， 那 么 将 鼓励 大 众 运 输 。 如 果 不 是 这 样 的 话 ， 那 么 只 提供 个 人 和 车 
辆 。 因 此 ， 自 动 化 道路 管理 将 不 得 不 管理 定价 结构 ， 可 能 通过 公司 来 提供 服务 并 提 
供 客户 的 个 人 账单 〈 几 家 公司 会 通过 相同 的 网 络 ， 运 行 它 们 的 自动 化 车 辆 ) 。 

因为 管理 中 心 还 将 管理 每 个 自动 化 车 辆 的 导航 ， 因 此 最 好 的 路 线 用 于 一 次 特 
定 的 旅行 。 最 佳 路 径 不 一 定 是 最 快 的 那 一 条 路 径 ， 而 是 经 过 整个 系统 的 优化 得 到 
的 。 管 理 中 心 还 将 管理 其 他 资源 ， 比 如 加 载 / 御 载 区 、 备 用 位 置 (停车 ) 、 能 源 
和 车 辆 维修 设施 !?] 。 因 此 ， 管 理 将 寻求 达成 最 佳 值 ， 对 某 些 标 准 必须 由 经 营 者 
结合 政治 层面 来 决定 。 

最 后 ， 管 理工 作 将 管理 系统 的 维护 和 改进 以 及 不 可 避免 的 突 发 事件 (故障 
车 辆 、 破 坏 的 基础 设施 和 道路 上 物品 等 ) 。 


3.4.4 路 径 部 署 


很 明显 ， 自 动 化 道路 运输 的 部 署 不 会 同时 发 生 在 每 一 个 地 方 。 未 来 场景 会 有 
三 个 趋势 兴起 。 一 个 是 驾驶 辅助 ， 它 自 20 世纪 90 年 代 末 以 来 ， 一 直 草 延 很 快 。 
正如 我 们 之 前 看 到 的 ， 许 多 技术 已 经 出 现在 最 近 的 高 端 私 人 交通 工具 上 ， 如 纵向 
控制 使 用 雷达 、 横 向 控制 使 用 视觉 技术 "41 。 融 合 了 这 些 技术 的 第 一 辆 现在 出 现 
在 市 场 上 ， 有 可 能 在 2030 年 ， 制 造 的 50% 的 汽车 将 融合 这 些 技术 (与 此 同时 ， 
低 成 本 的 “人 工区 驶 ”车 辆 将 主要 留 给 发 展 中 国家 ) 。 

这 些 技术 目前 也 出 现在 公共 汽车 上 ， 且 可 以 示范 成 为 第 一 代 大 型 自动 化 道路 
车 辆 ， 它 具有 自动 化 BRT 的 概念 (ABRT) ， 并 作为 一 种 更 廉价 的 自动 化 地 铁 替 
代 方 案 。 一 些 制造 商 已 经 解决 这 个 市 场 问题 。 

第 二 个 趋势 是 人 一 一 移动 者 的 到 来 ， 它 是 基于 在 特定 位 置 和 专用 的 轨道 
(有 保护 或 没有 保护 ) 上 的 自动 引导 车 辆 。 这 些 系统 现在 开始 部 署 ， 最 大 的 障碍 
是 缺乏 适当 的 立法 ， 这 个 障碍 将 阻止 完全 自动 化 的 汽车 在 公共 道路 上 行驶 。 这 个 
问题 正在 欧洲 解决 。 

第 三 个 趋势 是 快速 发 展 (主要 是 在 大 城市 ) 的 汽车 共享 计划 ， 它 解决 了 城 
市 居民 的 需求 ， 它 寻求 补充 公共 运输 和 私人 交通 的 准时 需要 。 若 干 个 城市 和 州 现 
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在 辟 励 这 一 趋势 的 发 展 ， 将 导致 停车 位 需求 减少 以 及 更 清洁 、 更 安全 的 汽车 。 法 
国法 律 在 2006 年 通过 促进 这 些 服务 的 部 署 (Ries 法 律 ) 。 

可 以 预测 ， 在 未 来 10 年 ， 最 后 这 两 个 趋势 将 与 个 体 车 辆 合并 ， 并 具有 双 模 
功能 : AT. (辅助 ) 驾驶 车 辆 在 普通 公路 上 和 全 自动 芝 驶 车 辆 在 专门 的 区 域 ， 
其 中 将 允许 没有 (BUR) 人 工 驾 驶 ， 因 此 确保 顺利 和 安全 运行 自动 化 车 辆 。 


























3.5 小 结 





正如 我 们 所 见 的 ， 基 于 先进 的 传 感 带 和 控制 单元 的 控制 技术 (运行 先进 算 
法 ) 快速 出 现在 标准 道路 车 辆 上 ， 也 就 是 轿车 、 公 共 汽 车 、 货 车 和 厢 式 货 
这 些 技术 目前 正在 用 于 开发 每 适 的 功能 ， 但 它们 越 来 越 影响 车 辆 的 安全 与 效率 。 
这 些 技术 与 通信 和 道路 网 络 的 全 局 控制 联系 起 来 ， 将 会 走向 一 个 全 新 形式 的 
和 运输， 它们 将 越 来 越 少 地 依赖 人 类 驾驶 人 。 也 许 50 年 以 后 ， 人 工 驾驶 车 辆 将 留 
给 一 些 爱 好 者 ， 就 像 现在 的 马 一 样 。 
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4.1 汽车 通信 系统 : 特点 和 约束 条 件 


4.1.1 从 点 到 点 通信 到 多 路 通信 


自从 20 世纪 70 年 代 以 来 ， 电 子 系统 在 数量 上 已 呈 指 数 增长 ， 它 们 已 逐渐 取 
代 那 些 纯粹 的 机 械 或 液压 系统 。 硬 件 组 件 日 益 增长 的 性 能 和 可 靠 性 以 及 通过 能 实 
现 复杂 功能 的 软件 技术 带 来 的 可 能 性 提高 了 车 辆 驾 乘 的 舒适 性 以 及 安全 性 。 尤 其 
是 ， 电 子 系统 的 主要 目的 之 一 是 通过 与 转向 、 牵 引 ( 即 ， 了 驱动 力矩 控制 ) 或 制 
动 一 如 防 抱 死 制 动 系统 (ABS)、 电 子 稳 定 程 序 (ESP)、 电 动 助力 转向 
(EPS) 、 主 动 悬 架 或 发 动机 控制 相关 的 功能 ， 协 助 驾 驶 人 控制 车 辆 。 使 用 电子 系 
统 的 另 一 个 原因 是 为 了 控制 车 身 内 的 设备 ， 如 灯 、 刊 水 器 、 门 、 窗 和 最 新 的 娱 
乐 、 通 信 设 备 (如 收音 机 、DVD， 免 提 电 话 和 导航 系统 ) 。 

在 汽车 电子 产品 的 初期 ， 每 个 新 功能 都 作为 一 个 独立 的 电子 控制 单元 
(ECU) 实施 ， 而 ECU 是 一 个 由 一 个 微 控制 器 和 一 套 传感器 及 执行 器 组 成 的 子 系 
统 。 这 种 方式 很 快 被 证 明 不 足以 满足 分 布 在 多 个 ECU 的 功能 需要 和 各 功能 之 间 
的 信息 交流 需要 。 例 如 ， 由 发 动机 控制 器 或 车 轮转 速 传感器 佑 计 的 车 速 必须 获 
得 ， 以 适应 转向 力 、 控 制 悬 架 ， 或 上 只 是 简单 地 选择 合适 的 刊 水 器 速度 。 在 今天 的 
豪华 轿车 上 ， 有 高 达 2500 个 信号 〈 即 基本 信息 ， 如 车 速 ) 被 多 达 70 个 ECU 进 
行 通信 5 。 直 到 20 世纪 90 年 代 初 ， 数 据 还 通过 ECU 之 间 点 对 点 的 链接 来 进行 
交换 。 然 而 ， 这 一 需要 n 数量 级 的 通信 通道 数 的 策略 (其 中 , n 是 ECU 的 数 
量 。 如 果 每 个 节点 都 与 其 他 所 有 节点 相互 关联 ， 那 么 链接 的 数量 以 n 的 平方 增 
长 ) ， 由 于 导线 和 接口 引起 的 重量 、 成 本 、 复 杂 性 和 可 靠 性 引起 的 问题 ， 无 法 应 
付 ECU 越 来 越 多 的 使 用 。 这 些 问 题 促 进 了 使 用 网 络 ， 该 网 络 通信 在 一 个 共享 的 
媒介 上 进行 多 路 切换 ， 因 此 需要 定义 对 于 管理 通信 的 规则 、 协 议 ， 尤 其 是 授权 访 
问 总 线 的 规则 、 协 议 。 在 一 篇 1998 年 的 新 闻 稿 (引用 自 文献 [2]) 中 ， 提 到 一 
个 改变 “宝马 车 四 个 车 门 局 域 网 (LANs) 线束 的 使 用 减少 了 15kg 的 重量 ”的 事 
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情 。 在 20 世纪 80 年 代 中 期 ， 第 三 方 供应 商 博世 公司 开发 了 控制 器 局 域 网 
(CAN) ， 它 被 首先 整合 到 20 世纪 90 年 代 初 梅 赛 德 斯 生产 的 汽车 中 。 如 今 ， 控 制 
器 局 域 网 (CAN) 已 成 为 在 汽车 系统 中 使 用 最 广泛 的 网 络 ， 并 且 佑 计 当 前 每 年 
销售 的 CAN 节点 数 大 约 为 4 亿 个 (所 有 领域 )3]。 其 他 提供 不 同 服务 的 通信 网 
络 目前 正 被 整合 到 汽车 应 用 中 。 在 4. 2 节 中 将 描述 使 用 的 主要 网 络 。 


4.1.2 汽车 的 域 及 其 演变 


由 于 汽车 的 所 有 瞬 和 人 功能 并 不 具有 相同 的 性 能 或 安全 需求 ， 所 以 在 通信 系统 
中 期 待 不 同 的 服务 质量 (QoS) (例如 ， 响 应 时 间 、 跳 动 、 带 宽 、 容 许 传输 错误 
的 元 余 通信 通道 、 错 误 检测 机 构 的 效率 等 )。 在 通常 情况 下 ,一 个 车 载 册 入 式 系 
统 被 分 为 几 个 功能 域 ， 它 们 对 应 不 同 的 功能 和 约束 (参见 第 1 章 ) 。 其 中 的 两 个 
域 是 专门 针对 实时 控制 和 车 辆 行为 安全 : “动力 总 成 ”( 即 控 制 发 动机 和 变速 右 ) 
域 和 “底盘 ”( 即 控制 其 架 、 转 向 和 制 动 ) 域 。 第 三 个 域 是 “车 身 ”， 它 主要 实 
现 舒 适 功 能 。“ 和 远程 信息 处 理 ” ( 即 集 成 了 无 线 通 信 、 和 车 辆 监控 系统 和 定位 系 
统 )、“ 多 媒体 ”和 “人 机 接口 ”(HMI) 域 充分 利用 了 多 媒体 和 移动 通信 领域 的 
不 断 进步 。 还 有 一 个 新 兴 的 域 是 关心 乘员 的 安全 。 

动力 总 成 域 的 主要 功能 是 控制 发 动机 。 它 通过 几 毫 秒 级 的 采样 周期 (由 于 
发 动机 的 转速 ) 的 一 些 复杂 控制 律 来 实现 ， 并 且 在 具有 高 运算 能 力 的 微 控制 器 
中 实施 。 为 了 应 付 将 要 处 理 的 关键 任务 的 多 样 性 ， 需 要 多 任务 处 理 能 力 ， 并 且 对 
任务 调度 实施 严格 的 时 间 限 制 。 此 外 ， 需 要 数据 与 汽车 其 他 域 进行 频繁 交换 ， 这 
些 域 如 底盘 [例如 ， 电 子 稳定 程序 (ESP) 、 防 抱 死 制 动 系统 (ABS)] MAE 
(例如 仪表 板 与 温度 控制 ) 。 

底盘 域 的 功能 如 ABS、ESP、 自 动 稳 定 控 制 系统 (ASC)、 四 轮 驱 动 
(AWD) ， 是 根据 转向 / 制 动 请 求 和 驾驶 条 件 (路 面 、 风 等 ) 来 控制 底盘 总 成 。 该 
域 的 通信 和 需求 与 动力 总 成 域 的 通信 非常 相似 ,但 是 因为 它们 对 车 辆 的 稳定 性 、 灵 
活性 和 动力 学 影响 较 强 ， 所 以 底盘 的 功能 从 安全 的 角度 而 言 ， 显 得 更 为 重要 。 此 
外 ， 当 前 航空 电子 系统 使 用 的 “ 线 控 ” 技 术 正 被 慢 慢 引入 到 汽车 执行 转向 或 制 
动 的 功能 中 。 线 控 技 术 是 一 种 通用 术语 ， 是 用 完全 的 电气 /电子 系统 代替 机 械 或 
液压 系统 ， 从 而 引导 了 、 并 且 仍 将 引领 新 的 设计 方法 ,来 使 之 安全 发 展 ! 中 ， 尤 
其 是 控制 各 功能 之 间 的 干扰 5] 。 底 盘 和 动力 总 成 的 功能 主要 作为 闭环 控制 系统 
操作 ， 且 它们 的 实施 沿 着 时 间 触 发 的 方式 发 展 [5-"1 ， 这 有 利于 可 组 合 性 ( 即 整 
合 独立 开发 组 件 的 能 力 ) 和 确定 的 系统 实时 行为 。 

仪表 板 、 刊 水 器 、 灯 、 门 、 窗 、 座 椅 、 后 视 镜 和 温度 调节 越 来 越 多 地 通过 基 
于 软件 的 系统 来 控制 ， 这 些 软件 构成 了 车 身 域 。 该 域 的 特点 是 功能 众多 ， 从 而 使 
得 各 部 分 之 间 的 片段 信息 交换 成 为 必需 。 并 非 所 有 节点 都 需要 较 大 的 带宽 ， 如 通 
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过 CAN 提供 的 节点 ; 这 导致 了 低 成 本 网 络 的 设计 ， 如 本 地 互联 网 络 CLIN) 和 
时 间 触 发 协议 CTTP/A, BL 4.2 节 )。 这 些 网 络 上 有 一 个 节点 称 为 主要 节点 ， 
它 拥 有 一 个 精确 的 时 钟 ， 并 且 通 过 查询 其 他 节点 与 从 节点 ， 驱 动 定期 通信 。 和 车 身 
域内 部 不 同 的 通信 和 需求 的 混合 导致 了 一 个 分 层 的 网 络 架 构 ， 该 网 络 架构 是 基于 低 
成 本 网 络 集成 的 机 电 系 统 ， 并 通过 一 个 CAN 主干 网 互联 。 车 身 功能 的 激活 主要 
由 驾驶 人 和 乘客 的 请 求 〈 如 开 窗 、 锁 门 等 ) 来 触发 。 

远程 信息 处 理 功 能 如 免 提 电话 、 车 载 电台 、CD、DVD、 和 车 载 导 航 系统 、 后 
座 娱乐 和 远程 车 辆 诊断 等 ， 正 变 得 越 来 越 丰富 。 这 些 功 能 需要 在 车 内 进行 大 量 的 
数据 交换 ,但 也 可 以 通过 使 用 无 线 技术 来 与 外 部 世界 交换 ( 详 见 参考 文献 [10] 
的 案例 ) 。 在 这 里 ， 信 息 和 任务 的 重点 转移 到 受到 严格 期 限 限制 的 多 媒体 数据 
流 、 带 宽 共 享 和 多 媒体 QoS 上 ， 其 中 维持 完整 性 ( 即 确保 信 息 不 会 被 意外 或 恶 
意 修改 ) 和 信息 的 保密 性 是 至 关 重 要 的 。HMI 旨 在 提供 易于 使 用 的 接口 ， 并 限 
定 驾驶 人 注意 力 不 集 中 的 危险 [1]。 

为 确保 驾 乘 人 员 安 全 的 、 基 于 电子 的 系统 越 来 越 多 地 藤 入 到 和 车辆 中 。 这 种 系 
统 的 例子 有 磋 撞 和 翻车 传 感 顺 、 气 赛 和 安全 带 预 紧 需 的 布置 、 胎 压 监 测 、 自 适应 
巡航 控制 (ACC) 调整 车 速 来 保持 与 前 车 的 安全 距离 。 这 些 功能 形成 一 个 
新 兴 领 域 ， 通 常 称 为 “主动 和 被 动 安 全 ”系统 。 


4.1.3 对 于 不 同 需求 的 不 同 网 络 


对 带宽 2 和 性 能 多 样 性 、 成 本 及 可 靠 性 2 需求 的 稳步 增长 的 需求 ， 导 致 了 整 
个 汽车 使 用 的 网 络 的 多 样 化 。 在 1994 年 ， 汽 车 工程 师 学 会 (SAE) 基于 分 布 于 
网 络 的 数据 传输 速度 和 功能 定义 了 汽车 通信 协议 的 分 类 [3 -5]。A 类 网 络 的 数据 
传输 速率 低 于 10kbit/s， 它 被 用 于 传输 低 成 本 技术 的 简单 控制 数据 。 它 们 主要 和 集 
成 在 车 身 域 ( 座 椅 控 制 、 门 锁 、 照 明 、 行 李 箱 开启 、 雨 水 传 感 央 等 ) A 类 网 络 
的 例子 有 LINUS 4] TTPZAL8] 。B 类 网 络 致力 于 支持 ECU 间 的 数据 交换 ， 目 
的 是 为 了 通过 共享 信息 来 减少 传感器 的 数量 。 它 们 的 传输 速度 为 10 ~ 125kbit/s。 
J1850 °] 和 低速 CAN[L201 是 这 类 网 络 的 主要 代表 。 需 要 高 速 实 时 通信 的 应 用 程序 
需要 C 类 网 络 (速度 从 125kbit/s 到 1Mbit/s) 或 D 类 网 络 (速度 超过 
1Mbits) 。C 类 网 络 ， 如 高 速 CAN?!) ， 用 于 动力 总 成 并 且 最 近 也 用 于 底盘 域 。 
而 D 类 网 络 用 于 多 媒体 数据 〈 如 媒体 导向 系统 传输 ，MOSTI2] ) 和 需要 可 预见 性 






































”例如 ， 在 文献 [5] 中 ， 发 动机 和 底盘 控制 所 需 的 平均 带宽 估计 在 2008 年 达到 1500kbit/s， 而 在 
1994 年 、2004 年 ， 带 宽 分 别 是 122kbit/s 和 765kbit/s。 

钊 “可靠 性 通常 被 定义 为 能 够 提供 一 种 无 可 非议 地 、 被 信任 的 服务 的 能 力 ， 详 见 文献 [12 ] 。 

O D 类 没有 被 正式 定义 ， 但 通常 认为 超过 1Mbivs 的 网 络 属于 D 类 。 
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和 容错 性 的 关键 安全 场合 (如 TTP/C!?3! BY FlexRay!*4! 网 络 ) 或 作为 子 系统 [1 
之 间 的 网 关 。 

在 如 今 的 汽车 中 ， 包 括 四 个 不 同类 型 并 通过 网 关 互联 网 络 的 电子 架构 很 常见 。 
例如 ,沃尔沃 XC901 引 通过 一 个 LIN 总 线 、 一 个 MOST 总 线 、 一 个 低速 CAN 和 一 个 
高 速 CAN HIK, WATE 40 个 的 ECU。 在 不 和 久 的 将 来 ， 一 个 致力 于 就 像 “ 添 加 
安全 保险 [2%] 的 驾 乘 人 员 安 全 系统 (PMI, BIR) 的 总 线 将 会 增加 。 


4.1.4 事件 触发 与 时 间 触 发 


车 载 徐 入 式 系统 的 设计 步骤 的 主要 目标 之 一 是 确保 有 预定 义 的 安全 级 别 的 车 
辆 功能 在 正常 运行 模式 下 正确 执行 ， 但 也 可 以 是 在 某 些 零件 失效 时 (例如 ，ECU 
的 重新 启动 ) 或 在 车 辆 环境 产生 扰动 时 [ 例如， 电磁 干扰 (EM) 造成 图 像 被 
损坏 ] 。 因 为 最 重要 的 功能 现在 是 分 散 的 ,并且 需要 通信 ， 所 以 网 络 在 维护 般 入 
式 系 统 处 于 “安全 ”状态 中 扮演 一 个 核心 角色 。 因 此 ， 不同 的 通信 系统 必须 对 
这 一 目标 进行 分 析 ; 尤其 是 在 总 线 上 传输 的 信息 必须 满足 它们 的 实时 约束 ， 这 些 
约束 主要 包括 有 限 的 响应 时 间 和 有 限 的 抖动 。 

汽车 系统 中 的 通信 主要 有 两 种 范式 : 事件 触发 和 时 间 触 发 。 事 件 触 发 意味 着 
传输 的 信息 发 出 重要 事件 发 生 的 信号 (例如 ,一 扇 车 门 已 经 关闭 )。 在 这 种 情况 
下 ， 该 系统 拥有 尽 可 能 快 地 考虑 任何 如 报警 这 样 异 步 事件 的 能 力 。 通 信 协 议 必 须 
定义 一 个 策略 ， 来 允许 访问 总 线 以 避免 冲突 ; 例如 ， 用 于 CAN (4.2.1.1 节 ) 的 
策略 是 优先 分 配 到 每 1 帧 ， 并 人 允许 最 高 优先 级 帧 访问 总 线 。 事 件 触发 通信 在 带宽 
利用 率 方面 非常 有 效 ， 因 为 只 有 必要 的 信息 被 传递 。 此 外 ， 这 种 无 须 重 新 设计 现 
有 节点 的 系统 的 演化 ， 在 增 量 设计 是 惯例 的 汽车 工业 中 非常 重要 。 然 而 ， 事 件 触 
发 对 是 否 满足 时 间 约 束 的 验证 并 不 明显 ， 并 且 节 点 故障 检测 也 不 确定 。 

当 通 信和 是 时 间 触 发 (TT) 时 ， 帧 在 预定 的 时 间 点 被 传输 ， 这 非常 适合 定期 
的 信息 传输 ， 因 为 这 在 分 布 式 控制 回路 中 是 必需 的 。 预 计 在 一 个 通常 被 称 为 一 个 
槽 的 预定 时 间 间 隔 上 传输 每 1 帧 信号 ， 并 且 进 度 表 无 限期 地 重复 。 这 种 媒介 访问 
策略 被 称 为 时 分 多 址 (TDMA) 。 当 信和 号 帧 调度 被 静态 定义 时 ， 其 时 序 行 为 是 完 
全 可 以 预测 的 ; 因此 很 容易 检查 是 否 满足 数据 交换 上 表达 的 时 序 约束 。TTPs 另 
一 个 有 趣 的 性 质 是 失踪 信息 立即 被 确定 ; 在 短 且 有 限 的 时 间 内 ， 这 可 以 检测 节 
点 ， 推 测 没 有 再 运作 。TTPs 的 第 一 个 缺点 是 效率 低下 ， 它 表现 在 传输 非 周期 性 
信息 〈 即 不 定期 地 发 送 消息 ) 时 网 络 利用 率 和 响应 时 间 上 。TTPs 的 第 二 个 缺点 
是 缺乏 灵活 性 ， 即 使 它 可 以 定义 不 同 的 进度 表 〈 对 应 于 使 用 的 不 同 功能 模式 ) , 
并 在 运行 时 从 一 种 模式 切换 到 为 一 种 模式 。 最 后 一 个 缺点 ， 就 是 在 网 络 上 意外 增 
加 的 新 传输 节点 导致 了 信息 调度 表 的 变化 ， 因 此 必须 更 新 所 有 其 他 节点 。TTP/ 
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CI531 是 一 个 纯粹 的 TT 网 络 ,， 但 也 有 了 网络， 如 时 间 触 发 的 CAN (TICAN) 网 
络 !2] 、 灵 活 的 时 间 触 发 CAN (FTT - CAN) 网 络 [3] 和 FlexRay 网 络 ， 这 些 网 络 
可 以 支持 时 间 触 发 和 事件 触发 传输 的 组 合 。 这 种 能 够 传递 两 种 通信 类 型 的 能 力 很 
适用 于 汽车 背景 ， 因 为 控制 回路 以 及 报警 、 事 件 的 数据 必须 传输 。 

比较 了 事件 触发 和 时 间 触 发 方法 ; 读者 可 以 参阅 文献 [1，28，29] ， 以 获 
得 好 的 开端 。 


4.2 ERRA ANS 


PET AMIS A TA PEE BER, DA BEAT LY MY E i T AKE 
的 通信 网 络 。 本 节 的 目的 是 描述 使 用 的 每 个 主要 域 中 最 具 代表 性 的 网 络 。 


4.2.1 优先 总 线 


为 了 确保 运行 时 交换 数据 的 “新 鲜 "2 和 及 时 将 命令 交付 执行 器 ， 媒 介 访 问 
控制 (MAC) 协议 能 保证 信号 帧 的 有 限 响应 时 间 是 至 关 重 要 的 。 一 个 拥有 此 能 
力 、 高 效 且 概念 简单 的 MAC 方案 ,确保 根据 传输 信息 的 优先 级 访问 总 线 (读者 
可 以 参考 文献 [30，31] 和 第 13 章 了 解 如 何 计算 优先 总 线 上 的 响应 时 间 范 围 ) 。 
为 此 ， 每 条 信息 都 被 指定 一 个 标识 符 ， 此 标识 符 在 整个 系统 上 都 是 唯一 的 。 这 么 
做 有 两 个 目的 : 给 出 传输 优先 级 (数值 越 低 ， 优 先 级 越 高 ) ， 并 允许 接受 信息 后 
过 滤 。 这 样 的 “优先 总 线 ” 的 两 个 主要 代表 是 CAN 和 J1850。 

4.2.1.1 CAN 

毫 无 疑问 ，CAN 是 使 用 最 广泛 的 车 载 网 络 。 它 由 博世 公司 在 20 世纪 80 年 
代 中 期 设计 ， 用 于 车 载 ECU 之 间 的 多 路 通信 ， 并 因而 减少 了 总 的 线束 : 导线 长 
度 和 专用 线 数量 (例如 ， 与 非 多 路 传输 的 标致 306 FALL, HRA TS CAN 总 线 
的 标致 307 的 导线 数量 减少 了 40% ， 从 635 条 降 至 370 条 [221 ) 。 此 外 ， 它 人 允许 
在 ECU 之 间 共 享 传感器 。 

基于 双 绞 铜 线 上 的 CAN 在 1994 年 成 为 ISO 标准 [20.331] ， 并 且 由 于 其 低 成 本 、 
鲁 棒 性 和 有 限 通信 延迟 ， 所 以 现在 欧洲 汽车 应 用 上 的 数据 传输 ， 它 是 事实 上 的 标 
准 6] 。 在 如 今 的 汽车 中 ，CAN 被 用 作 SAE 的 C 类 网 络 来 进行 动力 总 成 和 底盘 域 
的 实时 控制 (在 250kbit/s BK SOOkbit/s) ， 但 是 它 也 被 用 作对 于 车 身 域 电子 设备 
的 SAE 的 B 类 网 络 , 通常 数据 传输 速率 为 125kbit/s。 















































”如 果 最 近 产 生 的 数据 足以 安全 消耗 ， 那 么 新 鲜 属 性 被 验证 ， 数据 被 使 用 时 的 时 间 和 最 后 的 产生 时 
间 的 差异 必须 小 于 指定 值 。 
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在 CAN 中 ， 可 能 存在 数据 被 分 段 成 数 帧 ， 定 期 、 不 定期 或 按照 需要 ( 即 客 
户 端 /服务 器 模式 ) 传输 。 一 幅 用 标识 符 标记 的 CAN 数据 帧 在 1 帧 内 传输 ， 且 它 
的 标记 符 数值 决定 着 帧 的 优先 级 。CAN 使 用 非 归 零 (NRZ) 位 代表 一 个 长 度 为 5 
的 位 填充 。 为 了 不 失去 位 时 ( 即 同 1 帧 的 连续 两 个 位 传输 之 间 的 时 间 ) ， 站 点 需 
要 定期 重新 同步 ， 且 这 个 过 程 需 要 放 在 信息 的 边沿 上 。 位 填充 是 一 种 编码 方法 ， 
当 使 用 非 归 零 位 表示 总 线 上 的 信号 电 平时 ， 它 能 使 其 再 同步 ， 且 可 以 在 一 个 较 长 
的 时 间 段 内 维持 常数 〈 例 如 ， 传 输 “000000…”) 。 边 沿 生成 后 进入 传 出 位 流 ， 
以 这 样 的 方式 来 避免 传输 超过 最 大 数 的 连续 的 、 相 同 水 平 的 位 (对 于 CAN, Se 
大 数 是 5) 。 接 收 器 将 应 用 逆 过 程 ， 并 去 掉 填 充 帧 。 对 于 一 个 包括 所 有 协议 处 理 
如 填充 位 在 内 的 (至 多 为 ) 135 位 数据 来 说 ,标准 CAN 数据 帧 (CAN 2.0A) 最 
多 可 以 包含 8B 的 数据 。 对 帧 格式 和 总 线 访问 内 容 感 兴趣 的 读者 ， 可 以 参见 第 13 
章 内 容 。CAN 总 线 访问 仲裁 程序 基于 这 一 事实 : 就 是 当 传输 时 ， 一 个 发 送 节点 
监测 总 线 。 信 和 号 必须 能 够 传送 到 最 偏远 的 节点 ， 并 且 在 位 值 确定 前 返回 。 这 要 求 
位 时 至 少 等 于 两 倍 的 限制 数据 传输 速率 的 传送 延迟 ; 例如 ，1Mbit/s 在 最 长 40m 
的 总 线 上 是 可 行 的 ， 而 250kbit/s 可 以 在 超过 250m 的 总 线 上 运行 。 为 了 减轻 数 
据 传 输 速率 的 限制 ， 并 且 进 一 步 延 长 CAN 的 使 用 寿命 ， 汽 车 制造 商 已 经 开始 实 
施 “ 流 量 整形 ”这 一 在 响应 时 间 方面 非常 有 益 的 策略 ; 这 部 分 内 容 在 第 14 章 中 


介绍 。 


CAN 有 若干 种 失误 检测 机 制 。 例 如 ， 可 以 检查 出 : 帧 中 传输 的 循环 元 余 校 
验 (CRC) 和 在 接收 端 计算 得 到 的 CRC 相同 ， 帧 结构 是 有 效 的 且 没 有 发 生 位 填 
充 错误 。 每 个 站 检查 到 一 个 错误 就 会 发 送 一 个 “错误 标志 ”， 它 是 一 个 特定 类 型 
的 帧 ， 由 六 个 连续 的 优势 位 组 成 ， 且 这 些 优势 位 使 总 线 上 的 所 有 站 都 觉察 这 个 传 
输 错误 。 损 坏 的 帧 将 自动 进入 下 一 仲裁 阶段 ， 额 外 的 延迟 可 能 导致 它 错过 它 的 截 
止 期 限 。 错 误 恢复 时 间 定 义 为 从 检测 出 错误 到 新 1 帧 开始 的 时 间 ， 是 17 ~31 个 
位 时 。CAN 拥有 某 种 故障 隔离 机 制 ， 来 确定 在 微 控制 器 、 通 信 控 制 器 或 物理 层 
级 别 上 由 硬件 产生 的 永久 性 错误 。 该 方案 是 基于 误差 计时 右 ， 这 些 计 时 右 根 据 特 
ERF (如 成 功 接收 1 帧 数据 ， 接 收 到 损坏 的 1 帧 数据 等 ) 来 增长 和 减少 。 所 
涉及 算法 的 相关 性 是 值得 质疑 的 中 ,但 其 主要 的 次 端 是 一 个 节点 必须 自我 诊 
断 ， 而 这 可 能 会 导致 一 些 严 重 错误 无 法 被 检测 到 。 举 例 来 说 ,一 个 错误 的 振荡 融 
可 以 导致 一 个 节点 连续 传送 一 个 优势 位 ， 而 这 是 一 个 “低级 错误 ”表现 PEN 
第 6 章 )。 此 外 ， 其 他 错误 ， 如 把 网 络 分 割 成 多 个 子 网 ， 由 于 在 端点 处 不 好 的 信 
号 反射 而 可 能 阻止 所 有 节点 的 通信 。 在 没有 额外 的 容错 设施 的 情况 下 ，CAN 不 
适用 于 安全 性 至 关 重 要 的 应 用 场合 ， 如 未 来 的 线 控 系 统 。 例 如 ， 一 个 单一 的 节点 
可 以 通过 发 送 规范 外 的 信息 〈 即 帧 的 长 度 和 周期 ) 来 干扰 整个 网 络 的 运作 。 为 
了 提高 基于 CAN 的 网 络 的 可 靠 性 (第 6 章 ) ， 提 出 过 许多 机 制 ， 但 是 ， 如 果 每 个 
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方案 只 解决 一 个 特定 的 问题 ， 那 么 它们 并 不 需要 设想 组 合 起 来 。 此 外 ， 这 些 机 制 
的 设计 中 使 用 的 故障 假设 不 一 定 相 同 ， 并 且 它 们 之 间 的 相互 作用 仍 有 竺 正式 
研究 。 

CAN 标准 只 定义 了 物理 层 和 数据 链 路 层 (DLL) 。 例 如 ， 针 对 规范 启动 程 
序 、 实 现 数据 分 割 或 发 送 定 时 消息 , 已 经 提出 了 几 个 更 高 级 别 的 协议 ( 见 4.3 
节 中 的 AUTOSAR 和 OSEK/VDK) 。 其 他 更 高 级 别 的 协议 规范 了 消息 内 容 ， 以 减 
轻 ECU 之 间 的 相互 操作 性 。 比 如 ，J1939 列举 的 在 斯 堪 尼 亚 卡 车 和 公共 汽车 上 的 
案例 15] 。 

4.2.1.2 VAN 

汽车 局 域 网 络 (VAN) P 和 CAN 很 相似 〈 例 如 帧 格式 、 数 据 传输 速率 ) , 
但 它 具 有 一 些 附加 的 或 不 同 的 功能 ， 从 技术 的 角度 看 ， 这 些 功 能 是 有 用 的 ( 例 
如 ， 没 有 必要 的 位 填充 与 帧 响应 : 一 个 被 要 求 数据 答复 的 节点 ， 在 同 1 帧 数据 中 
包含 了 请 求 ) VAN 过 去 曾 多 年 被 法 国 汽车 制造 商标 致 - 雪铁龙 用 于 汽车 车 身 域 
产品 中 (例如 ，206 车 型 ) ， 但 是 由 于 它 没有 被 市 场所 接受 ， 所 以 被 淘汰 ， 取 而 
代 之 的 是 CAN。 

4.2.1.3 J1850 网 络 

J1850121 是 一 个 SAE 的 B 类 优先 级 总 线 ， 它 在 美国 曾 被 用 于 非 严格 实时 性 
要 求 的 通信 中 ， 如 控制 车 身 电 子 或 诊断 。J850 的 两 个 衍生 型 定义 为 : 一 个 传输 
速率 为 10. 4kbit/s 的 单线 版 本 和 一 个 为 41. 6kbit/s 的 双 线 版 本 。 新 的 设计 趋势 似 
乎 是 用 CAN 或 一 个 像 LIN (参见 4.2.3.1 节 ) 这 样 的 低 成 本 网 络 来 代替 J1850,, 


4.2.2 TT 网 络 


如 前 所 述 ， 有 两 种 类 型 的 通信 网络 :TT 网 络 (其 中 的 活动 由 时 间 的 进程 驱 
动 ) 和 事件 触发 网 络 (其 中 的 活动 由 事件 的 发 生来 驱动 )。 这 两 种 类 型 的 网 络 都 
有 其 优点 ， 但 通常 认为 TT 总 线 更 可 靠 ( 例 如， 可 参考 文献 [9] 关于 这 个 问题 
的 讨论 ) 。 这 说 明 ， 目 前 只 有 TT 通信 系统 被 考虑 用 于 线 控 场 合 。 在 这 类 网 络 中 ， 
基于 TDMA 的 多 路 存 取 协议 特别 适合 ;它们 提供 对 介质 的 确定 性 访问 (传输 的 
顺序 是 在 设计 时 按 静 态 定义 )， 从 而 限制 响应 时 间 。 此 外 ， 它 们 定期 的 信息 传输 
可 用 作 “ 心 跳 ” 来 检测 站 的 故障 。 基 于 TDMA 的 三 个 网 络 可 以 作为 网 关 或 用 来 
支持 安全 关键 场合 ， 它 们 是 Tre/c!?! | FlexRay (参见 4.2.2.1 节 ) 和 TTCAN 
(参见 4.2.2.2 节 )。 由 世界 汽车 行业 支持 的 FlexRay 正在 成 为 行业 标准 ， 并 从 
2006 年 起 它 被 用 在 宝马 XS 车 型 中 [二 ] 。 接 下 来 ， 我 们 不 再 进一步 讨论 TTPZC， 
因为 据 我 们 所 知 ， 它 现在 不 再 用 于 车 辆 中 ， 而 是 用 于 飞机 的 电子 系统 中 。 然 而 ， 
多 年 来 取得 的 关于 TTP/C 的 重要 经 验 ， 尤 其 是 关于 容错 功能 551 和 形式 化 验证 
(参见 第 15 章 ) 方面 的 经 验 ， 肯 定 有 益 于 FlexRay。 
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4.2.2.1 FlexRay 协议 
主要 来 自 汽车 领域 的 公司 联盟 正在 开发 FlexRay 协议 。 联 盟 核心 成 员 有 宝 




















马 、 博 世 、 戴 姆 勒 、 通 用 汽车 、 恩 智 浦 、 飞 思 卡 尔 和 大 众 。FlexRay 协议 的 第 一 
次 公开 规范 已 经 在 2004 年 发 布 。 规 范 的 最 新 版 本 [参见 网 页 www. FlexRay. com, 


FlexRay 网 络 在 拓扑 结构 和 支持 宛 余 的 传输 两 个 方面 非常 灵活 。 它 可 以 设置 
为 总 线 、 星 形 或 多 星 形 。 它 并 不 强制 每 个 站 点 拥有 复制 通道 或 总 线 监控 ， 即 使 这 
个 站 用 于 如 线 控 转向 的 关键 功能 。 在 MAC 层 中 ，FlexRay 定义 了 一 个 通信 周期 作 
为 TT (或 静态 ) 窗口 和 事件 触发 (或 动态 ) 窗口 的 串联 。 每 个 通信 窗口 的 大 小 
在 设计 时 都 设置 为 静态 ， 且 每 个 通信 和 窗口 都 应 用 了 两 个 不 同 的 协议 。 通 信和 周期 定 
期 执行 。TT 窗口 使 用 TDMA MAC 协议 ; 在 TT 窗口 中 ， 和 TTPZC 的 主要 区 别 是 : 
在 FlexRay 中 的 站 可 能 拥有 几 个 时 模 ， 但 所 有 的 时 槽 大 小 都 是 相同 的 (图 4.1)。 
在 通信 周期 的 事件 触发 部 分 使 用 的 是 灵活 的 TDMA (FTDMA) 协议 : 时 间 被 
划分 成 所 谓 的 小 时 槽 ， 而 每 个 站 拥有 给 定数 量 的 小 时 槽 (不 一 定 是 连续 的 ) ， 并 
且 可 以 在 自己 的 小 时 槽 中 开始 1 帧 的 传输 。 如 果 站 没有 进行 传输 ， 那 么 一 个 小 时 
槽 处 于 闲置 状态 ,那么 这 实际 上 会 导致 带宽 的 损失 ( 见 文献 [37] 中 关于 此 问 
题 的 讨论 ) 。 一 个 动态 窗口 的 示例 如 图 4.2 所 示 : 通道 BE, WIZE) IN n 和 
n+2 中 传输 ， 而 小 时 模 n+1 并 没有 被 使 用 。 值 得 注意 的 是 ， 在 通道 A 和 B P, 
Win +4 没有 同时 被 接收 ， 这 是 因为 在 动态 窗口 中 ， 数 据 的 传输 在 两 个 通道 中 是 
独立 的 。 

FlexRay MAC 协议 比 TTP/C MAC 更 灵活 ， 这 是 因为 在 静态 窗口 中 的 节点 被 
分 配 了 尽 可 能 多 的 时 槽 (总数 高 达 2047) ， 同 时 也 是 因为 在 通信 周期 的 动态 部 分 
中 ， 帧 只 在 有 必要 的 时 候 被 传送 。 该 通信 周期 的 结构 与 TTPAC 相似 的 方式 被 静 
态 储存 在 节点 中 ; 然而 ， 它 又 不 同 于 TITP/C， 随 每 个 模式 不 同 通信 调度 变化 的 模 
式 变化 是 不 可 能 的 。 
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图 4.1 @ A, B, C AID 四 个 节点 的 FlexRay 通信 周期 示例 














FlexRay 的 帧 由 三 部 分 组 成 : 头 段 、 含 有 254B 的 数据 负载 段 和 24bit 的 CRC 
段 。5B 的 头 段 包括 了 帧 标识 符 和 数据 有 效 载 荷 的 长 度 。 标 识 符 的 使 用 允许 将 一 
个 发 送 帧 X 的 软件 组 件 从 一 个 ECU 移动 到 另 一 个 ECU， 同 时 不 会 改变 节点 中 任 
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槽 计数 器 
































图 4.2 FlexRay 通信 周期 的 动态 段 中 的 信息 时 序 安排 示例 


何 会 消耗 帧 X 的 内 容 。 然 而 必须 指出 的 是 ， 当 为 了 节省 带宽 而 把 通过 不 同 组 件 
产生 的 信号 封装 到 同 1 帧 中 时 [ 即 被 称 为 帧 封装 或 协议 数据 单元 (PDU) 一 一 
多 路 切换 ( 见 文献 [38]) 一 一 对 这 个 问题 在 CAN 上 的 解决 方法 ] ， 上 述 情况 是 
不 可 能 的 。 

从 可 靠 性 的 角度 看 来 ，FlexRay 标准 制定 了 单独 的 总 线 监控 器 和 时 钟 同步 算 
法 。 其 他 功能 ， 如 模式 管理 设施 或 成 员 服 务 ， 将 必须 在 软件 或 FlexRay 顶部 的 硬 
件 层 上 实现 (例如 ， 参 考 文献 [39] ， 了 解 可 以 与 FlexRay 一 起 使 用 的 成 员 服务 
协议 ) 。 这 将 允许 设想 和 精确 实施 需要 有 缺点 的 服务 ， 但 这 种 正确 和 有 效 的 服务 
实施 在 通信 控制 器 以 上 的 层面 上 更 加 难以 实现 。 

在 FlexRay 的 规范 中 ， 认 为 该 协议 提供 了 可 扩展 的 可 靠 性 ， 也 就 是 “在 配置 
中 提供 不 同 程度 的 容错 操作 能 力 ”。 事 实 上 ， 该 协议 允许 和 同一 网 络 、 没 有 总 线 
监控 需 的 节点 的 子 网 上 的 单 双 传输 支持 或 与 关于 时 钟 同步 的 不 同 容错 能 力 等 的 混 
合 连 接 。 在 关键 和 非 关 键 功 能 将 越 来 越 多 地 共存 和 互 操作 的 汽车 领域 中 ， 如 果 和 缺 
少 的 容错 功能 在 一 个 中 间 层 (MW) 中 被 提供 ， 例 如 目前 正在 汽车 行业 项 目 
AUTOSAR 内 开发 的 一 个 中 间 层 (参见 4.3.3 节 )， 那 么 这 种 灵活 性 可 以 证 明 在 成 
本 和 现 有 组 件 的 重新 使 用 方面 是 有 效 的 。 对 FlexRay 感 兴趣 的 读者 可 以 参考 第 5 
章 和 文献 [40，41] ， 来 了 解 如 何 配 置 通信 周期 。 

4.2.2.2 TTCAN 协议 

TTCANL”] 是 由 罗伯特 博世 有 限 公司 基于 CAN 物理 性 和 DLL 开发 的 通信 
协议 。TTCAN 使 用 CAN 标准 ， 但 此 外 ， 它 要 求 控制 器 有 可 能 根据 传输 错误 禁 
帧 的 自动 重 传 ， 并 且 有 可 能 提供 给 较 上 层 ， 这 些 层 有 帧 的 第 一 位 被 发 送 或 接 
受 !41 的 时 间 点 。 网 络 的 总 线 拓扑 、 传 输 支 持 的 特性 、 帧 格式 以 及 1Mbit/s 的 最 
大 数据 传输 速率 ， 都 是 CAN 协议 施加 的 。 通 道 匈 余 是 可 能 的 (参见 文献 [43] 
的 建议 ) ,但 不 规范 ， 并 且 没 有 总 线 监 控 器 在 节点 中 实施 。 如 同 FlexRay 一 样 ， 
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关键 的 想法 是 提出 一 个 灵活 的 TI/ 事件 触发 协议 。 如 图 4.3 所 示 ，TTCAN 定义 了 
一 个 基本 周期 (相当 于 FlexRay 通信 周期 ) 作为 一 个 或 几 个 TT (或 独 有 的 ) 窗 
口 和 一 个 事件 触发 (或 仲裁 ) 窗口 的 串联 。 独 有 的 窗口 致力 于 TT 传输 〈 即 周期 
的 消息 ) ， 而 仲裁 的 窗口 由 标准 CAN 协议 支配 : 传输 是 动态 的 ， 并 且 根 据 帧 的 优 
先 级 允许 对 总 线 的 访问 。 可 以 定义 几 个 基本 周期 ， 它 们 由 于 独 有 窗口 及 仲裁 窗口 
中 的 组 织 而 不 同 ， 并 由 于 仲裁 窗口 内 发 送 的 信息 而 不 同 。 连 续 的 基本 周期 列表 称 
为 系统 和 矩阵， 它们 在 循环 中 执行 。 有 趣 的 是 ， 该 协议 使 主 节点 〈( 即 通过 “参考 
言 息 ” 的 传输， 开始 一 个 基本 周期 的 节点 ) 可 以 在 TTCAN 模式 中 停止 运作 ， 并 
可 以 在 标准 CAN 模式 中 重新 开始 。 之 后 ， 主 节点 可 以 通过 发 送 一 个 参考 信息 来 
切换 回 TTCAN 模式 。 
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图 4.3 TICAN 基本 周期 的 示例 





TTCAN 建立 在 一 个 掌握 充分 且 成 本 低 的 技术 上 ， 但 由 标准 定义 的 CAN 并 不 
提供 重要 的 可 靠 性 服务 ， 例 如 总 线 监 控 、 成 员 服务 和 可 靠 的 认定 。 当 然 ， 它 可 以 
在 应 用 程序 或 MW 层 中 实施 这 些 机 制 中 的 部 分 内 容 ， 但 同时 会 降低 效率 。 几 年 
前 ， 汽 车 制造 商 被 认为 会 在 FlexRay 技术 完全 成 熟 前 的 过 渡 时 期 内 对 TTCAN 的 
使 用 感 兴趣 ， 然 而 事实 并 非 如 此 ， 且 TTCAN 在 汽车 产品 中 的 未 来 似乎 相当 不 
确定 。 

4.2.3 低 成 本 汽车 网 络 


几 种 现场 总 线 网 络 已 被 开发 来 满足 对 低速 度 / 低 成 本 通信 的 需要 ， 其 中 的 通 
信 发 生 在 基于 机 电 一体 化 的 系统 内 ， 而 系统 则 通常 是 由 ECU 和 其 传感器 及 执行 
机 构 组 成 的 系统 。 这 种 网 络 的 两 个 代表 是 LIN 和 TTP/A。 达 到 低 成 本 的 目标 不 仅 
是 因为 通信 控制 器 的 简易 ， 也 是 因为 在 微 控制 器 上 了 驱动 通信 的 设置 要 求 降低 了 
( 即 计算 能 力 低 、 内 存 少 、 振 荡 器 成 本 低 )。 这 些 网 络 的 典型 应 用 包括 门 的 控制 
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(如 门 锁 、 开 / 关 窗 ) 或 座 椅 的 控制 〈 如 座 椅 位 置 电 动机 、 占 用 控制 ) 。 除 了 对 成 
本 的 考虑 外 ， 一 个 包括 了 如 CAN 的 主干 网 和 如 LIN 的 几 个 子 网 的 分 层 通信 结构 ， 
可 以 减少 在 主干 网 上 的 总 流量 负载 。 

LIN 和 TTP/A 都 是 主 / 从 网 络 ， 其 中 一 个 单独 的 主 节点 协调 总 线 上 的 通信 ， 
且 该 唯一 主 节 点 必须 拥有 一 个 准确 且 稳 定 的 时 基 : 当 从 属 网 络 被 查询 时 ， 只 允许 
它 发 送信 息 。 更 确切 地 说 ， 对 话 开 始 于 由 “命令 帧 ”控制 的 传送 ,“ 命 令 帧 ”中 
包含 了 要 求 传输 的 信息 的 标识 符 。 命 令 帧 后 面 紧 跟着 “数据 帧 ”， 它 包含 了 由 从 
属 网 络 或 主干 网 本 身 发 送 ( 即 信息 可 以 由 主干 网 产生 ) 的 要 求 的 信息 。 

4.2.3.1 LIN 

LINEUS] 是 低 成 本 的 串 行 通信 系统 ， 它 被 用 作 SAE 的 A 类 网 络 ， 其 中 的 通 
信和 需求 并 不 需要 更 高 的 宽带 多 路 切换 网 络 (如 CAN) 来 实现 。LIN 由 汽车 行业 
内 的 一 组 专业 公司 (例如 ， 戴 姆 勒 - 克莱斯勒 、 大 众 、 宝 马 和 沃尔沃 ) FÈ, 
并 已 广泛 应 用 在 生产 的 汽车 上 。 

LIN 的 规范 程序 包 (LIN 2.1 WE) 不 仅 包括 了 关于 主 - 从 通信 的 传输 
协议 (物理 和 DLL) 的 规范 ， 也 包括 了 在 DLL 顶部 的 诊断 协议 的 规范 。 该 程序 
包 提 供 了 一 种 描述 节点 能 力 (例如 ,可 以 使 用 的 传输 速率 、 由 节点 披露 和 认定 
的 帧 的 特征 等 ) 和 描述 整个 网 络 的 语言 (例如 ， 网 络 上 的 节点 、 传 输 调度 表 
等 ) 。 这 个 描述 语言 有 利于 通过 软件 工具 自动 生成 网 络 配置 。 

一 个 LIN 艇 由 一 个 “ 主 ” 节 点 和 几 个 “从 ”节点 连接 到 一 个 共同 的 总 线 上 
组 成 。 为 了 实现 低 成 本 运行 ， 物 理 层 被 定义 为 一 个 由 于 EMI 局 限 性 而 把 数据 传 
输 速率 限制 到 20kbit/s 的 单线 。 根 据 调 度 表 ， 主 节点 决定 了 哪 1 帧 应 该 在 什么 时 
间 被 传送 。 调 度 表 是 LIN 的 关键 因素 ， 它 包括 了 需要 被 发 送 的 帧 的 列表 和 与 之 相 
关 的 帧 时 槽 ， 从 而 确保 传送 顺序 的 决定 。 当 1 帧 调度 到 传送 时 ， 主 节点 发 送 一 个 
头 段 〈 一 种 传输 请 求 或 命令 帧 ) 要 求 从 属 节点 发 送 响 应 数据 。 任 何 感 兴趣 的 节 
点 都 可 以 读 总 线 上 传送 的 数据 帧 。 正 如 在 CAN 中 ,每 条 信息 都 必须 被 确定 : 可 
利用 64 个 不 同 的 标识 符 。 图 4. 4 描绘 了 1 帧 数据 在 传送 期 间 ，LIN 的 帧 格式 和 
称 为 “ 帧 时 槽 ”的 时 间 周 期 。 
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图 4.4 LIN 帧 的 格式 ，1 帧 在 其 “ 帧 时 槽 ”期 间 被 传送 ， 时 槽 对 应 调度 表 的 一 个 人 口 
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包含 一 个 标识 符 的 帧 的 头 段 通过 主 节 点 传播 ， 然 后 拥有 该 标识 符 的 从 节点 
将 数据 插入 响应 域 来 传送 。“ 中 断 ” 符 号 用 于 发 出 1 帧 开始 的 信号 。 它 至 少 包 
含 13 个 优势 位 〈 逻 辑 值 为 0) ， 跟 随 这 些 显 性 位 的 是 一 个 作为 中 断 分 隔 符 的 隐 
性 位 〈 逻 辑 值 为 1) 。 由 字 节 字段 组 成 的 帧 的 剩余 部 分 由 一 个 起 始 位 〈 值 为 0) 
和 一 个 停止 位 〈 值 为 1) 来 划 定 界限 ， 从 而 每 个 字 节 会 产生 10bit 的 比特 流 。 
“同步 ” 字 节 有 一 个 固定 的 值 ( 它 对 应 一 个 非 0 即 1 的 比特 流 ); 它 允 许 从 节 
点 检测 一 个 新 帧 的 开始 ， 并 在 标志 符 字 段 的 开始 处 同步 。 所 谓 的 保护 的 标识 符 
由 两 个 子 字段 组 成 : 头 Obit 用 于 标识 符 的 编码 ， 后 2bit 被 用 于 表示 标识 符 的 奇 
偶 性 。 数 据 字 段 最 多 可 以 包含 8B 的 数据 。 总 和 检验 码 在 保护 的 标识 符 和 数据 
字段 上 计算 出 来 。 奇 偶 校 验 位 和 总 和 检验 码 使 帧 的 接收 器 能 够 检测 到 传送 过 程 
中 反 相 的 位 。 

LIN 定义 了 五 种 不 同 的 帧 类 型 : 无 条 件 的 、 事 件 触发 的 、 散 发 的 、 诊 断 的 和 
用 户 定 义 的 。 后 一 种 类 型 的 帧 分 配 了 一 个 特定 的 标识 符 的 值 ， 并 且 打 算 以 特定 方 
式 使 用 ， 而 这 个 方式 并 没有 在 规范 中 描述 。 前 三 种 类 型 的 帧 被 用 来 传递 信号 。 无 
条 件 类 型 帧 是 通常 在 主 从 对 话 框 中 使 用 的 帧 类 型 ,并且 它们 总 是 在 帧 时 槽 中 发 
送 。 只 有 当 至 少 一 个 信号 组 成 的 帧 更 新 完成 时 ， 散 发 的 帧 才 由 主 节点 发 送 。 通 
常 ， 多 个 散发 帧 被 分 配 到 同一 个 帧 时 槽 中 ， 并 且 有 一 个 已 更 新 信号 的 较 高 优先 级 
的 帧 将 被 传送 。 事 件 触发 帆 由 意愿 从 不 同 的 节点 中 获得 几 个 信号 列表 的 主 节点 使 
用 。 如 果 从 节点 产生 的 信和 号 已 经 更 新 ， 那 么 从 节点 将 只 回应 主 节点 ， 从 而 在 更 新 
不 经 常 发 生 时 ， 节 省 了 带宽 。 如 果 不 止 一 个 从 节点 回应 了 ， 那 么 将 会 发 生 冲 突 。 
主 节点 通过 一 个 接 一 个 地 请 求 列表 中 的 所 有 信号 来 解决 这 个 冲突 。 在 文献 [44] 
中 给 出 的 使 用 事件 触发 传送 的 典型 例子 是 在 一 个 中 央 门 锁 系 统 中 门 把 手 的 监测 。 
因为 多 个 乘客 同时 按 把 手 是 罕见 的 ， 因 此 不 用 查询 四 个 门 中 的 每 一 个 ， 而 是 可 以 
使 用 一 个 单独 事件 触发 帧 。 当 然 ， 在 罕见 的 多 个 从 节点 响应 的 事件 中 ， 将 会 发 生 
冲突。 然后 主 节 点 会 在 保留 连续 帧 时 覃 来 查询 列表 的 期 间 ， 通 过 发 送 列表 中 一 个 
接 一 个 独特 的 标识 符 来 解决 该 冲突 。 最 后 ， 诊 断 帧 有 固定 的 8B 大 小 和 固定 值 的 
识别 符 用 于 主 节 点 请 求 和 从 节点 的 响应 ， 并 且 总 是 包含 诊断 或 配置 数据 ， 这 些 数 
据 的 解释 都 定义 在 规范 中 。 

还 值得 一 提 的 是 ，LIN 提供 服务 来 发 送 节 点 进入 睡眠 模式 (通过 一 个 被 称 为 
“进入 睡眠 指令 ”的 特殊 的 诊断 帧 ) ， 并 且 提 供 服务 来 唤醒 它们 ， 因 为 这 很 方便 
优化 能 源 消 耗 ， 尤 其 是 当 发 动机 不 运行 时 ， 这 是 一 个 在 汽车 上 真正 需要 关注 的 
问题 。 

4.2.3.2 TTP/A 网 络 

和 TTP/C 一 样 ，TTP/AT'81 最 初 由 维也纳 科技 大 学 发 明 。TTP/A 追求 相同 的 
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目标 并 且 共 享 如 LIN 一 样 的 主要 设计 原则 ， 同 时 在 通信 控制 带 的 层面 上 它 提供 一 
些 类 似 的 功能 ， 尤 其 是 在 插件 及 播放 功能 和 在 线 诊断 服务 的 领域 内 。TTP/A SE 
现 了 被 称 为 “ 主 从 循环 ”的 经 典 主 从 对 话 框 ， 在 对 话 框 内 从 节点 回应 主 节点 的 
请 求 ， 而 这 个 请 求 有 一 个 4B 的 固定 长 度数 据 负 载 的 帧 。“ 多 伙伴 ”循环 可 以 使 
多 个 从 节点 在 一 个 单独 的 命令 帧 后 ， 发 送 总 量 达 62B 的 数据 。 一 个 “散布 式 循 
环 ” 是 一 个 特殊 的 主 从 循环 ， 其 中 从 节点 不 发 送 数据 ; 比如 ， 它 被 用 来 实施 睡 
HR / MME NSS W LIN 而 言 ， 在 单线 传输 文 持 上 的 数据 传输 速率 等 于 20kbit/s， 
但 是 其 他 的 传输 支持 可 以 使 用 更 高 的 数据 传输 速率 。 据 我 们 所 知 ，TTP/A 目前 
没有 用 在 量 产 的 汽车 中 。 


4.2.4 多 媒体 网 络 


许多 协议 已 经 被 修改 ,或 专门 应 用 在 汽车 系统 上 出 现 的 新 兴 多 媒体 需要 的 传 
送 大 容量 数据 。 在 这 类 网 络 中 ， 两 个 突出 的 协议 是 MOST Ail IDB -1394。 

4.2.4.1 MOST 网 络 

MOSTI2 1 是 在 1998 年 由 MOST 合作 体 (一 个 汽车 制造 商 和 零 部 件 供应 商 组 
成 的 联盟 ) 发 起 的 多 媒体 网 络 开发 成 果 。MOST 提供 有 不 同 可 能 数据 传输 速率 的 
点 对 点 的 音频 和 视频 数据 传输 。 它 支持 最 终 用 户 的 应 用 ， 如 收音 机 、 全 球 定位 系 
统 (GPS) 导航 、 视 频 播放 器 和 娱乐 系统 。MOST 的 物理 层 是 一 个 塑料 光纤 
(POF) 传输 支持 ， 对 于 EMI 和 更 高 的 传输 速率 ， 它 提供 了 比 传统 的 铜 线 更 好 的 
适应 能 力 。 目 前 宝马 和 戴 姆 勒 - 克莱斯勒 生产 的 汽车 使 用 的 是 MOST 网 络 ， 并 且 
MOST 现 已 成 为 车 内 传输 音频 和 视频 事实 上 的 标准 [$$,%] 。 在 撰写 本 手册 的 同时 ， 
MOST 的 第 三 次 修订 已 经 公布 ， 其 中 包含 了 支持 一 个 通道 传输 标准 以 太 网 帧 的 新 
功能 。 

4.2.4.2 IDB -1394 网 络 

IDB -1394 是 由 IDB 论坛 (JL http: //www. idbforum. org) 和 1394 贸易 协会 
( 见 http: //www. 1394ta. org) 共同 开发 的 针对 车 载 多 媒体 和 信息 通信 应 用 的 
IEEE - 1394 的 汽车 版 本 。IDB - 1394 的 系统 结构 允许 现 有 的 IEEE - 1394 消费 者 
的 电子 设备 和 般 入 式 汽车 级 设备 交互 操作 。 在 双 绞 线 或 POF 上 IBD - 1394 支持 
一 个 LOOMbit/s 的 数据 传输 速率 ， 同 时 般 入 式 设备 的 最 大 数量 被 限制 在 63 个 节 
点 以 内 。 从 传输 速率 和 与 现 有 IEEE - 1394 消费 电子 设备 的 互 操作 性 角度 来 看 ， 
IDB -1394 曾 在 同一 时 期 被 认为 是 MOST 技术 的 有 力 竞 争 对 手 ， 但 是 尽管 它 在 雷 
诺 和 日 产 车 上 有 一 些 早 期 的 应 用 ， 它 仍然 没有 得 到 市 场 的 广泛 认可 。 
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4.3 Date 


4.3.1 中 间 件 的 原理 


汽车 电子 系统 的 设计 必须 考虑 一 些 约束 和 条件。 首先 ， 车 辆 的 性 能 、 质 量 和 安 
全 取决 于 在 软件 中 实现 的 功能 ， 此 外 也 取决 于 这 些 功 能 之 间 的 紧密 合作 (第 1 
章 )。 其 次 ,车载 髋 入 式 系统 是 通过 原始 设备 制造 商 (OEMs) 和 供应 商 之 间 共 
享 的 、 复 杂 的 、 合 作 的 、 多 方 研发 过 程 产生 的 。 为 了 提高 组 件 及 其 集成 的 生产 效 
率 ， 必 须 解 决 两 个 重要 问题 : 四 从 一 个 ECU 到 另 一 个 ECU 的 组 件 的 可 移植 性 ， 
它 能 使 组 件 在 架构 设计 中 具有 灵活 性 ; @ 平 台 间 的 组 件 重新 使 用 ， 尤 其 是 对 
ECU 供应 商 而 言 ， 这 是 个 关键 点 。 因 此 ， 合 作 的 研发 过 程 提 出 了 组 件 互 操作 性 
的 问题 。 一 个 缓和 软件 组 件 集成 问题 的 经 典 方法 是 实施 一 个 中 间 件 层 ， 来 提供 有 
公共 服务 和 一 个 通用 接口 的 应 用 程序 。 特 别 的 是 ， 该 通用 接口 允许 应 用 程序 的 设 
计 忽 视 硬 件 平 台 和 分 布 ， 并 因此 使 设计 师 专 注 于 开发 和 验证 实现 一 个 功能 的 软件 
组 件 和 软件 架构 。 

在 一 套 通常 由 中 间 件 提供 的 公共 服务 中 ， 那 些 涉 及 多 个 应 用 程序 组 件 之 间 的 
通信 是 至 关 重 要 的 。 它 们 必须 满足 以 下 几 个 目标 : 

。 通过 服务 和 接口 的 利用 率 来 隐藏 分 布 ， 这 些 服务 和 接口 对 于 ECU 内 、 
ECU 间 ， 以 及 无 论 什么 样 的 底层 协议 的 域 间 通信 而 言 是 相同 的 。 

。 通过 提供 一 个 独立 于 底层 协议 和 CPU 架构 (如 8/16/32 位 、 字 节 顺 序 ) 
的 界面 来 隐藏 平台 〈 即 微 控制 器 、 协 议 、 操 作 系 统 等 ) 的 不 统一 。 

。 通过 验证 服务 (如 工作 模式 管理 、 宛 余 管 理 、 成 员 服务 等 ) 的 重新 使 用 ， 
提供 高 层次 的 服务 来 缩短 开发 时 间 和 提高 质量 。 该 功能 的 一 个 很 好 的 例子 是 
“ 帧 封装 ” (有 时 候 也 称 为 “信号 多 路 切换 ”) ， 它 使 应 用 程序 组 件 可 以 交换 “ 信 
号 ”( 如 每 分 钟 转 数 、 车 速 、 灯 光 的 状态 等 ) ， 而 在 运行 时 “ 帧 ”通过 网 络 传输 ; 
因此 ， 中 间 件 的 帧 封装 服务 表现 为 将 信号 包装 到 帧 内 ， 并 且 在 正确 的 时 间 点 发 送 
帧 ， 以 确保 每 个 包含 信号 的 截止 期 限 约束 。 

© 确保 应 用 程序 所 需 的 QoS 属性 ; 特别 的 是 ， 它 对 于 提高 QoS 是 必要 的 ， 
其 中 QoS 通过 较 低 水 平 的 协议 提供 ， 例 如 ， 当 由 网 络 协议 规定 的 CRC 代码 间距 
在 可 靠 性 目标 方面 不 够 充分 时 ， 提 供 额 外 的 对 应 用 程序 透明 的 CRC。 其 他 的 例 
子 是 ， 在 较 低 级 别 协议 下 的 “错误 ”校正 ， 比 如 CAN 的 “不 一 致 信息 复制 ” 
( 见 第 6 章 和 文献 [47]) 、 在 CAN 上 提供 可 靠 的 确认 服务 、 由 应 用 程序 组 件 所 
消耗 的 数据 上 的 状态 信息 (例如 ， 在 最 后 读 取 后 数据 被 刷新 ， 不 遵守 数据 的 刷 
新 约束 等 ) 或 过 滤 机 制 (例如 ， 每 次 接受 或 当 数 据 值 显著 改变 时 ,通知 应 用 
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程序 ) 。 

需要 注意 的 是 ， 有 一 个 更 先进 的 功能 将 赶 上 自 适 应 通信 服务 ， 这 是 由 于 算法 
在 运行 时 ,会 根据 当前 应 用 程序 的 要 求 ( 例 如， 市 内 驾驶 或 高 速 公 路 和 驾驶) 或 
改变 的 环境 条 件 ( 例 如， 电磁 干扰 水 平 ) 来 修改 通信 协议 的 参数 〈( 例 如， 优先 
级 、 传 输 频率 等 )。 目 前 据 我 们 所 知 ， 在 汽车 舱 入 式 系 统 里 还 没有 这 样 的 功能 。 
事实 上 ， 这 一 关键 需要 一 个 对 于 该 功能 设计 的 协调 方法 (如 控制 律 参 数 的 定义 、 
功能 鲁 棒 性 的 参数 的 识别 等 ) 和 实现 该 功能 软件 架构 的 部 署 (特别 是 通信 参 
数 )。 通 过 增加 应 用 程序 的 效率 和 重 棒 性 ， 这 样 一 种 自 适 应 策略 肯定 会 减轻 可 重 
用 性 问题 。 


4.3.2 优 于 AUTOSAR 的 汽车 中 间 件 


一 些 汽车 制造 商 拥有 专 有 的 中 间 件 ， 这 有 利于 集成 ECU 和 由 第 三 方 供应 商 
开发 的 软件 模块 。 例 如 ，TITUSZDBKONM 通信 堆 是 戴 姆 勒 的 专 有 中 间 件 ， 它 根据 
一 个 客户 端 / 服 务 器 模型 ， 使 组 件 间 的 合作 标准 化 。VolcanolS -5 是 最 初 与 沃 尔 
沃 合作 开发 的 Mentor Graphics 公司 的 商业 产品 。Volcano 目标 程序 包 (VTP) 包 
括 一 个 通信 层 和 对 于 分 布 在 CAN 和 /或 LIN 上 的 应 用 程序 的 一 套 离线 配置 工具 。 
它 旨 在 提供 信和 号 映射 到 网 络 带 宽 优化 下 的 帧 内 ， 并 确保 由 调度 分 析 技 术 得 到 的 一 
个 具备 可 预见 性 和 可 确定 性 的 实时 通信 系统 3,%]。 据 我 们 所 知 ， 还 没有 TITUS 
和 Volcano 的 公开 的 、 有 效 的 、 专 门 的 精确 描述 存在 。 

OSEK/VDX 联盟 〈 针 对 汽车 电子 的 开放 式 系统 及 其 接口 ， 见 http: //osek - 
vdx. org) 的 目标 是 为 车 载 控制 单元 建立 一 个 标准 的 架构 。 在 这 些 研究 成 果 中 ， 
本 章 对 两 种 规格 特别 感 兴趣 : OSEKZVDX 通信 层 554 和 容错 通信 层 [2]。OSEKV 
VDX 联盟 (http: //osek - vdx. org) 指定 一 个 通信 层 '5!]， 该 通信 和 层 定义 了 通用 
软件 接口 和 应 用 组 件 之 间 的 内 外 部 通信 的 共同 行为 。 在 应 用 层 ， 这 些 组 件 交 换 在 
OSEK/VDX 术语 中 称 为 “消息 ”的 信号 ， 而 通信 的 OSEK/VDX 实体 交换 所 谓 的 
收集 信息 的 交互 层 PDUs (TI-PDUs) 。 每 一 个 消息 的 用 户 可 以 指定 它 排队 或 不 排 
队 〈 即 一 个 新 的 值 将 覆盖 旧 的 ) 并 且 将 其 和 滤波 机 制 关联 。 而 通过 发 送 一 个 包 
含 或 不 包含 的 消息 ， 可 以 将 I- PDU 发 射 到 网 络 规定 为 触发 。 在 后 一 种 情况 下 ， 
I-PDU 的 发 射 与 发 送 消息 是 非 同 步 的 。 信 息 如 何 打包 成 1 帧 是 离线 静态 定义 的 ， 
并 且 OSEK/VDX 的 通信 层 在 运行 时 自动 实现 包装 / 拆 包 。I - PDU 特性 和 消息 是 
通过 OSEK/VDX 实施 语言 来 规定 的 '3”] 。 

OSEK/VDX 通信 在 主要 负责 1 -PDU 分 割 的 传输 层 顶部 [5 运行， 并且 它 可 
以 在 与 OSEKAVDX OS (操作 系统 ) 服务 兼容 的 任何 OS 上 运行 完成 任务 、 事 件 
和 中 断 管理 !5] 。 这 里 值得 提出 一 些 问题 。 尤 其 是 ， 内 部 到 一 个 ECU 或 者 两 个 远 
距离 ECU 应 用 过 程 之 间 的 通信 没有 完全 遵守 一 样 的 规则 ( 详 见 文献 [56] ) ; Al 
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此 ,设计 者 必须 考虑 具有 可 移植 性 障碍 的 功能 的 分 配 。 最 后 一 点 ，OSEK/VDX 
通信 不 按照 TT 方式 ， 并 且 没 有 设想 如 TTP/C 或 FlexRay 一 样 ， 被 用 在 TT 网 络 的 
顶层 。 这 些 网 络 实现 一 些 在 OSEK/VDX 通信 中 被 指定 的 功能 ， 例 如 I- PDU 发 送 
的 TT， 而 另 一 些 功能 则 由 不 与 TT 范例 兼容 的 中 间 件 提供 ， 例 如 I- PDU 只 要 包 
含 消息 ， 应 用 程序 就 直接 发 送 1- PDU 的 传输 。 然 而 ， 在 FlexRay 或 TTP/C 的 顶 
部 仍 需 要 更 高 水 平 的 服务 来 促进 容错 应 用 程序 的 开发 。0SEKAVDX FTCom ( 容 
错 通 信 ) 1 是 一 项 由 在 完成 针对 TT 分 布 式 体系 结构 的 OSEK/VDX 的 提议 。 其 
主要 功能 之 一 是 通过 根据 设计 者 指定 的 协议 策略 ， 提 供 唯 一 一 个 数据 副本 给 接收 
器 应 用 程序 来 管理 数据 元 余 ， 其 中 这 些 数据 被 用 来 实现 容错 ( 即 相 同 的 信息 可 
以 通过 一 套 复制 的 节点 产生 ) 。 另 外 两 个 也 由 OSEK 通信 提供 的 FTCom 重要 服务 
是 : 人 中 如 果 网 络 带宽 必须 优化 (4.4.1 节 )， 管 理 所 需 的 信息 的 封包 / 拆 包 138] ; 
@) 为 只 传递 “显著 ”数据 给 应 用 程序 而 提供 信息 过 滤 机 制 。OSEKAVDX FTCom 
曾 被 开发 用 在 TT 操作 系统 (OS) 的 顶部 运行 ， 例 如 OSEK 时 间 !5] 。 在 这 个 操 
作 系 统 中 ， 任 务 的 时 序 安排 被 指定 在 一 个 离线 产生 的 、 被 称 为 调度 表 的 时 间 表 
中 。OSEKZVDX FTCom 允许 操作 系统 将 在 调度 表 中 定义 的 任务 调度 的 开始 时 间 
HER] I- PDU JER (BI TDMA 循环 ) 的 特定 时 间 点 上 。 当 这 一 点 被 连接 在 同 
一 网 络 上 的 所 有 ECU 共享 时 ， 该 项 服务 可 以 用 于 同步 远 距 离 应 用 程序 。 

在 2000 年 到 2004 年 期 间 ， 进 行 了 一 个 旨 在 规范 汽车 行业 内 的 汽车 中 间 件 的 
欧洲 合作 项 目 (ITEA EAST - EEA 项 目 ， 见 http: //www. east - eea. net)。 据 我 
们 所 知 ，ITEA EAST - EEA 项 目 是 第 一 个 重要 的 主动 瞄准 规范 中 间 件 及 中 间 件 染 
构 本 身 在 组 件 及 组 件 结构 方面 确保 的 服务 。 类 似 的 目标 引导 了 在 AUTOSAR 联盟 
中 完成 的 工作 ， 见 第 2 章 和 文献 [58，59 ] ， 该 联盟 聚集 了 汽车 行业 中 大 多 数 的 
关键 参与 者 。 由 联盟 产生 的 规范 迅速 成 为 合作 开发 的 车 载 能 人 式 系统 (例如 ， 
见 迁 移 到 标志 - 雪铁龙 上 的 AUTOSAR! ©!) 的 实际 标准 。 












































4.3.3 AUTOSAR 


AUTOSAR (AUTomotive Open Standard ARchitecture ， 汽 车 开放 系统 架构 ) 指 
E SiR ATE ECU 中 的 软件 架构 。 更 确切 地 说 ， 它 提供 了 由 三 个 主要 部 分 组 成 的 
一 种 参考 模型 : 

。 应 用 层 。 

。 基本 软件 〈 中 间 件 软件 组 件 ) 。 

。 运行 环境 (RIE) ， 为 应 用 软件 提供 标准 化 软件 接口 。 

AUTOSAR 的 主要 目标 之 一 是 提高 嵌入 式 系统 的 质量 和 可 靠 性 。 通 过 使 用 一 
个 合适 的 抽象 概念 ， 参 考 模型 支持 了 软件 和 硬件 之 间 的 分 离 ， 并 且 简 化 了 控制 的 
复杂 性 。 它 也 允许 应 用 软件 组 件 的 可 移植 性 ， 并 因此 人 允许 产品 修改 、 升 级 、 更 新 
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的 灵活 性 以 及 在 产品 线 内 和 跨 产 品 线 的 解决 方案 可 拓展 性 。AUTOSAR 参考 架构 
的 示意 图 如 图 4.5 所 示 。 如 果 AUTOSAR 的 代码 只 访问 由 RTE 定义 的 人 口 点 ， 那 
么 应 用 软件 组 件 可 以 和 AUTOSAR 兼容 。 此 外 ， 一 个 在 中 间 件 内 使 用 的 基本 软件 
组 件 必 须 是 在 AUTOSAR 中 定义 的 类 型 之 一 ; 如 果 它 提供 在 其 类 型 的 规范 上 正式 
定义 的 服务 和 接口 ， 那 么 它 是 和 AUTOSAR 兼容 的 。 通 常 是 由 供应 商 提 供 的 基本 
软件 组 件 和 应 用 程序 本 身 的 规范 (应 用 级 别 任务 的 描述 、 发 送 或 接收 信号 、 事 
件 、 警 报 等 ) 来 产生 AUTOSAR 中 间 件 。 因 此 ， 它 的 调度 可 以 针对 每 个 ECU 来 
优化 。 

















WERE AL 


HEN TE 





ECU 便 件 


四 | 标准 化 界面 


4.5 AUTOSAR 参考 架构 


AUTOSAR 中 间 件 的 主要 目标 之 一 是 隐藏 硬件 平台 的 特点 以 及 应 用 软件 组 件 
的 分 布 。 因 此 ，ECU 之 间 与 ECU 内 的 通信 服务 具有 重大 意义 ， 且 由 AUTOSAR 
联盟 提供 的 文件 对 它 进 行 了 彻底 描述 (ILE 4. 6 中 不 同 模块 的 概述 )。 这 些 服务 
的 作用 对 于 伦 入 式 和 分 布 式 应 用 的 行为 和 时 间 特 性 是 至 关 重 要 的 。 因 此 ， 必 须 准 
确 掌握 它们 的 设计 和 配置 ， 并 且 时 间 特 性 的 验证 成 为 一 项 重要 的 活动 。 因 为 由 某 
一 层次 的 服务 处 理 的 对 象 (例如 ， 信 和 号、 帧 、I-PDU 等 ) 与 由 另 一 层次 的 服务 
处 理 的 对 象 不 同 ， 所 以 问题 是 复杂 的 。 然 而 ， 每 个 对 象 都 强烈 依赖 于 一 个 或 多 个 
属于 相 邻 层次 的 服务 处 理 的 对 象 。AUTOSAR 标准 提出 了 两 个 通信 模型 ; 

o “发送 器 /接收 器 ”在 两 个 应 用 软件 组 件 (属于 同一 ECU 上 相同 的 任务 或 
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ba igs 或 属于 两 个 远程 任务 ) 之 间 用 于 传递 信息 

“客户 /服务 器 ”支持 函数 调用 。 

en 

。“ 显 式 ” 模 式 是 由 一 个 对 AUTOSAR 中 间 件 产生 发 送 或 接收 数据 的 显 性 调 
ua 

“ 隐 式 ”模式 意味 着 由 中 间 件 自动 完成 的 数据 读 取 (或 写 入 ) 发 生 在 没 
ee et E Rg et ed 
行 结束 后 ) 。 











FlexRay 
界面 














通信 驱动 器 、ECU 硬件 和 通信 控制 器 





图 4.6 通信 软件 组 件 和 架构 


AUTOSAR 确定 了 关于 通信 的 三 个 主要 目标 : 处 于 应 用 层面 的 软件 组 件 间 的 
信息 交换 、 由 一 个 或 多 个 信号 的 群 组 构成 的 I- PDU 和 实际 上 在 网 络 上 传输 的 
N - PDU (DLL PDU), AUTOSAR 精确 定义 了 : 

。 根据 长 度 和 类 型 规定 应 用 层面 的 信号 。 理 论 上 讲 ， 一 个 信号 通过 端口 在 
A en mn 
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参数 ， 因 为 这 些 参数 将 影响 传输 的 行为 : 

-“ 触 发 ”该 参数 的 值 表明 ， 每 当 信 和 号 通过 应 用 程序 提供 给 中 间 件 时 ， 它 必 
须 在 网 络 上 传输 ( 稍 后 我 们 将 会 看 到 ， 这 意味 着 包含 此 信号 的 帧 将 在 此 信号 发 
射 后 由 应 用 程序 组 件 直接 发 送 ) 。 

- 相反 ， 信 号 的 “待定 ” 值 表明 其 在 网 络 上 的 实际 传输 只 取决 于 包含 此 信 
号 的 帧 的 发 射 规则 。 

此 外 ， 当 指定 一 个 信号 时 ,设计 者 必须 表明 它 是 否 是 一 个 “数据 ”或 一 个 
“事件 ”。 在 前 者 的 情况 下 ,传人 的 数据 不 需要 在 接收 端 排队 ， 当 一 个 新 的 值 到 
达 时 ， 它 会 清除 相同 信号 的 前 一 个 值 。 后 一 种 情况 规定 信号 将 在 接收 端 排 队 ， 因 
此 它 可 以 确保 当 每 个 信号 被 传输 时 ， 新 的 值 都 会 提供 给 应 用 程序 。 缓 冲 或 排队 的 
处 理 都 由 RTE 完成 。 

e I -PDU H AUTOSAR COM 组 件 建立 。 每 个 1- PDU 都 由 一 个 或 多 个 信号 
组 成 ,并且 通 过 PDU 路 由 器 传递 到 通信 接口 。 一 个 LI- PDU 的 最 大 长 度 取决 于 通 
信和 接口 下 面 的 L-PDU ( 即 DLL PDU) 的 最 大 长 度 : 对 于 CAN FI LIN, L -PDU 
最 大 长 度 是 8B， 而 对 于 FlexRay， 其 最 大 长 度 是 254B。AUTOSAR COM 确保 了 两 
个 组 件 位 于 同一 ECU 时 的 本 地 传输 ,或 当 组 件 是 远程 的 时 候 ， 通 过 建立 合适 的 
目标 和 触发 较 低层 相应 的 服务 确保 传输 。 这 一 方案 确保 了 组 件 的 可 移植 性 ， 并 隐 
藏 了 它们 的 分 布 。 从 信号 到 1-PDU 和 从 1-PDU 到 信号 的 转换 ， 都 根据 一 个 离 
线 生 成 的 配置 完成 。 每 个 1- PDU 由 不 同 可 能 数值 的 传输 模式 的 行为 参数 来 
描述 : 

- “直接 ” 表明 只 要 包含 在 1-PDU 内 的 一 个 “触发 ”信和 号 在 应 用 层 被 
RIŽ, RIŽ I -PDU 就 进行 。 

“定期 ” ”意味 着 1-PDU 的 发 送 只 定期 发 生 ， 它 规定 1- PDU 不 包含 触 

















- “混合 ” 意味 着 要 考虑 由 包含 在 1-PDU 内 的 触发 信号 施加 的 规则 ， 另 
gh, WEL -PDU 包含 至 少 一 个 “等 待 ”信和 号， 那 么 I-PDU 将 定期 发 送 。 

-“ 无 ” 描述 了 I-PDU 的 特性 ， 其 中 I-PDU 的 发 送 规则 取决 于 存在 的 
网 络 协议 (例如 FlexRay) ， 并 且 在 这 样 的 模式 中 ， 没 有 传输 是 通过 AUTOSAR FF 
始 的 。 

e 一 个 N - PDU 由 基本 组 件 CAN TP (Transport Protocol 传输 协议 ) 或 
FlexRay TP 建立 。 它 包含 了 将 在 网 络 上 传输 的 帧 的 数据 有 效 载 荷 和 协议 控制 信 
息 。 值 得 注意 的 是 ， 传 输 层 的 使 用 并 不 是 强制 性 的 ， 且 工 -PDU 则 可 以 直接 传输 
到 更 低 的 层 上 ， 如 图 4. 6 所 示 。 当 使 用 一 个 传输 层 时 ， 可 以 通过 以 下 方式 获得 
N-PDU; 

- 分 离 1- PDU 以 获得 多 个 符合 帧 数据 有 效 载荷 长 度 的 N -PDU。 
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- 由 几 个 1-PDU 组 装 成 一 个 N - PDU, 

RTE 实现 了 AUTOSAR 中 间 件 接口 和 相应 的 服务 。 尤 其 ，RTE 可 以 处 理 “ 隐 
式 / 显 式 ”的 通信 模式 ， 且 通信 和 包含 了 事件 (排队 ) 或 数据 (不 排队 ) 的 事实 。 
图 4.7 说 明了 两 个 远程 应 用 程序 组 件 (在 发 送 端的 ASC -S 和 在 接收 端的 ASC - 
R) 之 间 的 信号 S 的 传输 是 如 何 被 RTE 和 COM 组 件 处 理 的 。 信 号 S 被 认为 是 一 
个 数据 ， 因 此 它 不 需要 排 了 从， 并且 它 被 显 式 接收 ERER), EHA ECU E, 
RET 根据 应 用 层 的 组 件 间 信 息 交 换 的 规定 产生 。 因 此 ， 特 别 是 在 接收 端 ， 在 
RTE 中 为 每 个 被 ECU 接收 的 数据 定义 了 一 个 缓冲 区 。 在 系统 初始 化 时 ， 在 接收 
器 终端 的 信号 S 的 值 被 设置 为 静态 定义 的 值 (在 图 4.7 的 示例 中 ,初始 值 是 0)。 
缓冲 区 在 4 Mt, 之 间 包 含 了 一 个 值 0， 从 时 间 ws 开始 值 为 20。 由 于 一 个 由 应 用 
软件 组 件 ASC -R 在 接收 端 完成 的 读 取 调用 值 将 被 返回 ， 因 此 在 时 间 o 时 该 值 
为 0， 而 时 间 4 时 该 值 为 20。 


发 送 器 ECU 接收 器 ECU 


RTE COM COM RTE 
cael | dite | | 发 送 中 | Eig | 接收 天 ] E 


were | 储存 TERTE | yb 
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图 4.7 显 式 通信 模式 下 一 个 数据 信号 的 发 送 器 /接收 器 
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在 图 4.8 中 给 出 了 一 个 相似 的 例子 ， 但 这 个 时 间 信 号 $ 是 一 个 “事件 ”， 
此 ， 它 要 通过 RTE 在 接收 的 ECU 上 排队 。 在 时 间 IT, S 的 队列 被 初始 化 〈 队 
列 为 空 ) 。 在 时 间 e 时 ， 值 20 开始 排队 ， 在 4 时 一 个 由 接收 顺应 用 组 件 完 成 的 
读 取 调用 返回 值 20， 且 队列 被 清空 。 在 时 间 妃 和 ts 的 时 候 ， 这 样 的 一 个 读 取 调 
用 返回 一 个 代码 ， 它 表明 队列 是 空 的 。 














RIA ECU 接收 器 ECU 
RTE COM CO 
PS | 发 送 器 | 发 送 器 | 
ai er 4 oo 
| HAGE 
初始 阶段 





aes ASC_Ri L 
信号 S( 事 件 ) 





RTE 返 四 
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图 4.8 显 式 通信 模式 下 一 个 事件 信号 的 发 送 融 / 接 收 融通 信 模 型 





























AUTOSAR COM 组 件 负责 几 项 功能 : 在 发 送 端 ， 它 确保 传输 并 通知 应 用 程序 
其 输出 (成 功 或 错误 )。 特 别 是 ，AUTOSAR COM 可 以 通知 应 用 程序 ， 在 指定 期 
限 之 前 ( 即 期 限 监控 ) 1-PDU 的 传输 是 否 发 生 。 在 接收 端 ， 它 也 可 以 通知 应 用 
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程序 (接收 成 功 或 接收 错误 ) ， 并 支持 信号 过 滤 机 制 (把 接收 的 1-PDU 的 每 一 
个 信号 派送 给 应 用 程序 或 网 关 ) 。 在 发 送 和 接收 结束 时 ， 负 责 转换 字 节 顺序 。 
COM 组 件 的 一 个 重要 作用 是 打包 信号 到 I- PDUs 和 从 I-PDUs 中 解压 信号 。 需 
要 注意 的 是 ， 由 于 1- PDU 的 最 大 长 度 取决 于 存在 的 网 络 ， 所 以 COM 组 件 的 设 
计 必 须 考虑 到 网 络 ， 因 此 它 并 非 完 全 独立 于 硬件 架构 。COM 组 件 也 需要 确定 发 
送 I-PDUs 的 时 间 节 点 。 它 基于 I- PDU 的 属性 传输 模式 和 其 包含 的 每 条 信号 的 
属性 转移 性 能 。 图 4.9 总 结 了 可 能 的 组 合 。 注 意 : 在 本 表 中 没有 标明 “无 ”的 
传输 模式 ， 在 该 种 情况 下 传输 由 存在 的 网 络 层 驱 动 。 

从 图 4. 9 中 可 知 ， 实 际 的 I-PDU 发 送 和 它 因 此 所 包含 的 信号 发 送 都 与 一 些 
规则 有 关 。 图 4. 10 说 明了 一 个 包括 两 个 信号 S, AIS, 的 I-PDU 触发 时 如 何 直接 
WAR Ei, bh, b, t 时间 时 ， 发 送信 号 S, 或 信号 S 到 COM 组件 上 ， 将 触 
发 1-PDU 发 射 到 下 层 。 在 图 4. 11 中 ， 我 们 考虑 了 一 个 包装 了 信和 号 $S， (被 触发 ) 
和 信号 Sa (ŒE) 的 1-PDU。I -PDU 的 传输 模式 被 设置 与 期 间 di 混合 。 每 当 
S, 的 新 值 被 提供 给 RTE，I- PDU 就 被 传送 给 下 层 (ti Flt, 时 )。 此 外 ， 每 隔 de 
时 间 (ty 和 its 时 ) I- PDU 也 被 传输 。 需 要 注意 的 是 ， 在 这 个 配置 中 ，5, 的 一 些 
值 可 能 没有 被 传输 ， 例 如 在 ,时 提供 的 S, 的 值 。 
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每 当 发 送 一 个 信号 、 每 当 发 送 一 个 触发 信 
且 在 每 隔 一 个 周期 I-PDU 的 传输 号 且 在 每 隔 一 个 周期 
发 送 进 ; I-PDU 的 周期 进行 发 送 时 ，I-PDU 的 传 
传输 就 进行 输 应 进行 















































图 4.9 I-PDU 的 传输 模式 与 信号 传输 性 质 的 关系 
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BIG SS, 发 送信 号 5 发 送信 号 > 发 送信 号 Si 
(数值 为 5) (数值 为 -34) (数值 为 0) (数值 为 100) 
fi | fy b {4 1 
Y + t 人 
Y v y y 
I-PDU 的 发 射 I-PDU 的 发 身 I-PDU 的 发 射 I-PDU 的 发 射 
a KI 
S| S2 Sı S> S| S2 S| S2 
图 4.10 直接 模式 中 有 两 个 触发 信号 的 I- PDU 传输 
发 送信 号 S| 发 送信 号 $》 发 送信 号 5 发 送信 号 5 
(数值 为 5) (数值 为 -34) (数值 为 0) (数值 为 100) 
ly | qe b3 t4 ts 4 lg 
< 一 ra pie i 
| di s dt : | t 
Yy Y v Yy 
I-PDU 的 发 射 1-PDU 的 发 射 I-PDU 的 发 射 I-PDU 的 发 射 
(ies [So] [ito 
Sy S Sı Ss Si Sa Sı S2 
图 4.11 在 包含 一 个 触发 信号 (S) 和 一 个 挂 起 信号 (S) 的 
混合 模式 中 I- PDU 的 传输 
COM 组 件 离 线 产生 在 信号 、IL- PDU M ECU 上 的 应 用 软件 组 件 分 配 知识 的 


基础 上 。 根 据 配 置 ，AUTOSAR PDU 路 由 器 (14.6) 分 派 每 个 1- PDU 到 正确 


的 网 络 通信 堆栈 中 。 





一 旦 软件 组 件 和 体系 结构 的 配置 已 知 ， 


就 离线 静态 生成 基本 


组 件 。 其 他 通信 堆栈 的 基本 软件 组 件 负 责 需 要 时 的 1- PDU 的 分 解 /重组 


(FlexRay TP, CAN TP), 
O) 给 通信 驱动 需 。 


或 者 负责 


4.4 


4.4.1 优化 的 网 络 架 构 


提供 








接口 ( FlexRay 接口 、CAN 接口 、LIN 接 


汽车 通信 系统 的 开放 性 问题 


传统 上 把 汽车 应 用 程序 划分 为 几 个 不 同 的 、 拥 有 各 自 特点 和 要 求 的 功能 领 
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域 ， 这 在 掌握 其 复杂 性 上 是 有 用 的 ， 但 是 这 也 导致 了 几 个 独立 的 子 系统 
的 结构 、 网 络 和 软件 技术 的 发 展 。 

由 于 越 来 越 需要 监 领域 的 数据 交换 ， 因 而 一 些 困难 也 因 这 种 划分 而 出 现 。 这 
要 求实 现 网 关 的 CPU 负载 和 在 数据 刷新 的 影响 方面 的 性 能 必须 被 仔细 评估 ( 参 
见 文献 [61] 的 案例 ) 。 例 如 ， 从 功能 的 角度 来 看 ， 一 个 属于 特定 领域 的 ECU 
可 以 因 接线 的 原因 连接 到 另 一 领域 的 网 络 上 。 例 如 ， 在 一 些 车 上 上， 柴油 机 微粒 过 
滤器 (the Diesel Particulate Filter, DPF) 和 和 车身 网 络 (尽管 从 功能 的 角度 看 ， 该 
网 络 属于 动力 总 成 部 分 ) 连接 。 这 可 能 会 引起 性 能 问题 ， 因 为 DPF 需要 对 来 自 
位 于 动力 总 成 网 络 上 的 发 动机 控制 器 的 数据 流 有 强 的 时 间 约 束 。 跨 领域 数据 交换 
的 例子 可 以 举 出 许多 ,例如 发 动机 控制 器 (动力 总 成 ) 从 温度 控制 器 (车身 ) 
获得 输入 ,或 从 仪表 板 (车 身 ) 上 显示 的 动力 总 成 获得 信息 。 也 有 一 些 功 能 可 
以 考虑 作为 交叉 领域， 如 防盗 嚣 ， 它 同时 属于 车 身 和 动力 总 成 领域 。 而 即将 到 来 
的 线 控 功 能 ， 也 需要 底盘 、 动 力 总 成 和 车 身 的 ECU 之 间 的 紧密 合作 。 

目前 的 一 个 做 法 是 在 不 同 的 领域 间 通 过 属于 车 身 域 、 通 常 被 称 为 “中 央 体 
电子 ”的 网 关 来 传输 数据 。 它 被 确认 为 汽车 的 关键 子 系统 : 它 构成 了 一 个 单 
故障 点 ， 其 设计 过 于 复杂 ， 并 且 由 于 日 益 增 加 的 工作 量 ， 系 统 开 始 出 现 性 能 
问题 。 

一 个 最 初 的 可 预测 的 改进 领域 是 为 了 进一步 发 展位 于 不 同 子 网 的 应 用 程序 之 
间 的 互 操 作 性 所 需 的 技术 。AUTOSAR 项 目 已 在 过 去 几 年 中 在 中 间 件 方面 实现 了 
重大 进展 ， 并 且 我 们 正 越 来 越 接 近 4.3.1 节 中 列 出 的 理想 特性 。 

今后 的 工作 将 致力 于 优化 网 络 架构 。 这 意味 着 需要 重新 考虑 目前 包含 每 个 领 
域 基础 上 的 网 络 实施 的 做 法 。 使 用 能 够 完成 可 扩展 性 能 的 多 种 通信 需求 (例如 ， 
高 速 、 事 件 触 发 和 TT 通信 ) 的 技术 无 疑 是 一 个 促进 设计 的 可 能 方向 。 当 然 ， 如 
NETCAR - Analyzer ( JL http; //www. realtimeatwork. com) 这 样 的 软件 工具 将 有 
助 于 掌握 复杂 性 ， 有 助 于 成 本 及 可 靠 性 优化 的 解决 方案 。 在 软件 的 开发 周期 中 ， 
由 于 在 被 AUTOSAR 接受 的 进程 中 的 ASAM FIBEX 标准 !2] 的 问世 ， 将 促进 软件 
的 使 用 ， 而 该 软件 能 充分 描述 艇 入 在 汽车 中 的 网 络 (CAN，LIN，PlexRay， 
MOST 和 TTCAN 协议 ) 、 在 ECU 之 间 交 换 的 数据 帧 以 及 网 关 策 略 。 





特定 





















































4.4.2 系统 工程 


一 个 通信 系统 的 性 能 验证 是 双重 的 。 一 方面 ， 可 以 证 明 通 信 系 统 服务 的 一 些 
性 质 独立 于 应 用 程序 。 例 如 ， 已 使 用 文献 [39, 63, 64] 中 的 正式 方法 研究 了 
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同步 的 正确 性 和 TTP/C 的 成 员 与 小 团体 的 规避 服务 。 

若 没有 一 个 精确 的 系统 模型 ， 那 么 就 会 存在 其 他 约束 的 实现 无 法 被 确定 。 这 
是 激活 和 传输 模式 必须 确定 的 对 任务 和 信和 号 实时 约束 的 典型 情况 。 在 过 去 的 10 
年 里 ， 这 个 领域 中 已 经 完成 了 很 多 工作 : 优先 总 线 上 的 可 调度 性 分 析 :3 | ES 
和 信息 的 联合 可 调度 性 分 析 !5'6] 和 EMI 下 通信 可 靠 性 的 概率 评估 34,36,67,63]， 
等 等 。 现 在 需要 的 是 推广 这 些 分 析 ， 来 考虑 这 些 使 用 平台 的 特殊 性 (例如 ， 由 
于 操作 系统 和 通信 层 堆 栈 产生 的 一 般 费 用 ) ， 并 把 这 些 平台 整合 到 系统 开发 过 程 
中 。 当 几 方 合作 者 〈 汽 车 制造 商 和 各 个 第 三 方 供 应 商 ) 共享 研发 过 程 时 ， 以 上 
问题 是 复杂 的 。 必 须 制 定 方法 来 促进 独立 开发 的 组 件 集成 ， 同 时 也 要 确保 它们 的 
互 操 作 性 。 

关于 涉及 功能 的 临界 条 件 ， 未 来 汽车 的 线 控 操 作 系统 可 以 与 航空 电子 领域 的 
线 控 系 统合 理 比较 。 根 据 文 献 【69] ， 在 车 辆 中 关键 安全 故障 的 发 生 概率 不 能 
过 5 x10-“h， 但 也 有 研究 认为 每 个 系统 的 关键 安全 故障 的 发 生 概 率 不 能 超过 
10 ”。 达 到 如 此 高 的 可 靠 性 将 是 一 项 真正 的 挑战 ， 尤 其 是 由 于 成 本 的 限制 。 可 
以 肯定 的 是 ， 了 解 航空 电子 行业 多 年 以 来 如 何 集 聚 ( 相关 技术 ) ， 可 以 有 很 大 的 
帮助 ， 但 是 必须 发 展 适 合 汽车 约束 的 设计 方法 学 。 

第 一 步 是 开发 可 以 把 不 同 子 系统 集成 到 一 个 域 的 新 技术 (4.4.1 节 )， 而 真 
正 的 挑战 是 把 开发 过 程 从 子 系统 集成 转变 为 一 个 完整 的 综合 设计 过 程 。 车 载 认 人 
式 系统 内 的 网 络 控制 功能 的 增多 导致 研发 特定 的 设计 过 程 ， 除 了 别 的 之 外 ， 还 基 
于 形式 化 分 析 、 网 络 可 靠 性 性 能 的 验证 技术 和 舱 入 式 应 用 的 可 靠 性 需求 的 验证 
技术 。 
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5.1 概述 


电子 控制 单元 (ECU) SAERRA RKHS, EEL AR HY REA E 
机 管理 或 电子 稳定 程序 得 以 实现 ， 从 而 提高 了 现代 汽车 的 经 济 性 、 安 全 性 和 和 舒适 
性 。 为 了 实现 一 个 如 电子 稳定 程序 这 样 的 先进 功能 ， 它 必须 与 汽车 的 其 他 各 种 功 
能 如 制动器 、 发 动机 或 变速 器 控制 相互 作用 。 因 此 ， 这 些 功 能 都 需要 一 个 合适 的 
基础 设施 来 分 散 地 实现 嵌入 式 控 制 应 用 程序 ， 并 使 用 一 个 通信 控制 单元 的 网 络 来 
交换 它们 之 间 的 信息 。 

由 于 它们 的 安全 关键 特性 ， 磐 入 式 汽 车 系统 执行 这 些 功 能 一 般 需 要 保证 其 通 
信 基 础 设施 的 性 能 。 典 型 的 要 求 是 保证 〈 高 优先 级 ) 信息 传输 延 时 和 通信 的 操 
作 重 棒 性 。 此 外 ， 汽 车 领域 的 经 济 限制 要 求 每 个 通信 节点 都 要 效率 高 、 配 置 灵 活 
和 成 本 低 。 

为 了 结合 运行 和 经 济 上 的 约束 ,布置 在 使 用 共享 通信 媒介 的 网 络 中 的 ECU 
结合 了 同步 调度 ， 以 确保 可 靠 的 信息 交换 。 


5.1.1 事件 驱动 通信 与 时 间 驱 动 通 信 


为 了 给 ECU 提供 一 个 合适 的 基础 设施 ， 下 面 提供 了 两 个 不 同 的 协议 范例 : 

e 事件 驱动 通信 ， 例 如 在 控制 区 域 网 络 协议 中 (CAN， 见 第 4 章 和 第 6 章 ) 
实施 。 

e 时 间 驱 动 通信 ， 例 如 在 时 间 触 发 协议 中 (TIP， 见 第 4 章 和 第 15 章 ) 
实施 。 

这 些 范 例 的 不 同 ， 根 本 就 在 于 访问 共享 通信 介质 的 方式 是 在 通信 控制 单元 之 
间 协 调 的 。 

在 “事件 驱动 通信 ”的 情况 下 ,使 用 了 一 个 特 设 的 同步 方案 。 这 个 方案 基 
于 一 个 动态 的 仲裁 策略 ， 避 人 免 使 用 基于 信息 优先 级 方案 时 的 访问 冲突 。 这 个 方案 
并 不 需要 进程 通信 事件 之 间 的 优先 协调 ， 这 些 进程 可 能 会 任意 地 发 送信 息 。 发 送 
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对 通信 介质 的 访问 要 求 是 授予 在 每 个 事件 的 基础 上 : 如 果 介质 目前 不 被 占用 ， 每 
个 进程 都 可 能 尝试 访问 它 以 发 送信 息 。 在 两 个 或 多 个 发 送 者 之 间 存 在 冲突 的 情况 
下 ,优先 级 较 低 的 消息 发 送 延 人 运 ， 让 位 于 具有 最 高 优先 级 的 信息 (发送)。 因 
此 ， 该 协议 只 涉及 对 通信 事件 的 处 理 ， 无 须 具 有 进一步 的 功能 。 

相 比 之 下 ， 在 “时 间 驱 动 通信 ”的 情况 下 应 用 了 一 个 预定 义 的 同步 方案 。 
该 方案 使 用 一 个 基于 时 覃 的 静态 仲裁 策略 ， 以 避免 访问 冲突 。 通 过 事先 分 配给 每 
条 消息 的 一 个 独特 的 通信 时 槽 ， 就 不 再 需要 冲突 的 特 设 回避 。 访 问 通信 介质 的 授 
权 基 于 一 个 依赖 时 间 的 策略 ;一 个 过 程 可 能 只 发 送 在 分 配 时 槽 内 的 信息 。 然 而 ， 
冲突 的 避免 主要 取决 于 每 个 时 槽 的 开始 及 持续 的 总 协议 。 因 此 ， 除 了 实际 的 通 
信 ， 协 议 还 必须 包括 对 于 所 有 进程 间 时 覃 同步 的 功能 。 

就 分 布 式 开发 过 程 而 言 ， 尤 其 是 在 设计 和 集成 阶段 ， 由 于 它们 仲裁 方案 的 性 
质 ， 这 两 种 不 同 的 范例 提供 了 相当 好 的 互补 性 。 事 件 驱 动 通 信使 用 一 个 轻 量 级 的 
通信 协议 。 由 于 它 特 设 剖 突 避 免 ， 设 计 接 口 规范 时 不 再 需要 事先 保留 时 槽 。 它 的 
同步 策略 理想 地 容许 了 带宽 的 最 佳 使 用 ， 即 使 是 在 零星 信息 的 情况 下 。 根 据 通信 
负载 的 性 质 和 平均 带宽 〈 实 际 上 低 于 最 大 值 ) ， 至 少 可 以 保证 高 优先 级 信息 的 最 
大 延迟 。 事 件 驱 动 方法 下 的 组 件 集成 是 通过 组 合 来 简单 实现 的 ， 这 是 由 于 冲突 形 
势 下 不 兼容 的 同步 策略 采用 了 特 设 解决 。 然 而 ， 因 为 消息 的 延迟 取决 于 可 用 带宽 
和 通信 负载， 因此 针对 组 件 的 一 个 子 集 建立 的 延迟 不 一 定 支 持 组 合 组 件 的 完整 
网 络 。 

相 比 之 下 ， 时 间 驱 动 通信 和 需要 一 个 额外 的 时 钟 同步 机 制 。 由 于 其 仲裁 策略 ， 
设计 接口 规范 时 ， 必 须 为 所 有 通信 保留 时 槽 ， 这 可 能 会 导致 出 现 未 被 使 用 的 时 
槽 ， 因 此 尤其 是 在 零星 信息 的 情况 下 会 出 现 带宽 损失 。 使 用 这 种 优先 的 保留 方 
R, 通过 显 式 分 配 信息 到 时 权 ， 时 间 了 驱动 通信 确保 了 所 有 信息 的 最 大 延迟 。 此 
外 ,组 件 集成 还 需要 确保 分 配 到 时 覃 时 的 兼容 性 。 然 而 ， 针 对 隔离 组 件 建立 的 延 
迟 保 证 (要 能 够 ) 迅即 支持 组 成 系统 。 

总 而 言 之 ， 就 零星 信息 的 集成 和 调节 而 言 ， 事 件 驱 动 通 信 的 灵活 性 是 以 可 靠 
系统 的 组 合 性 为 代价 的 。 为 了 结合 两 种 优势 ，FlexRay 综合 了 这 两 种 方法 。 


5.1.2 FlexRay 的 目标 


引入 FlexRay 来 提供 一 个 通信 系统 ， 专 门 针 对 汽车 领域 的 高 速 控制 应 用 的 需 
求 。 这 个 领域 的 典型 应 用 ， 例 如 先进 的 动力 总 成 系统 、 底 盘 电 子 系统 或 线 控 功能 
都 有 相当 不 同 的 通信 需求 ， 尤 其 涉及 信息 的 允许 延迟 或 信息 的 周期 /零星 性 质 。 
在 这 里 ，FlexRay 设计 成 用 于 支持 这 些 不 同类 别 的 应 用 ， 并 通过 由 可 扩展 功能 通 
信 的 替代 选择 来 提供 架构 的 灵活 性 来 实现 。 

为 此 ，FlexRay 通过 以 下 途径 ， 旨 在 提供 一 种 “两 全 其 美 ”方法 : 
























































































































































































































































99 


ooo 汽车 嵌入 式 系统 手册 


。 将 事件 驱动 和 时 间 驱 动 范 例 集成 为 一 个 共同 的 协议 ,来 同时 提供 两 种 通 
信和 方案。 

e 支持 时 间 驱 动 和 事件 驱动 的 通信 部 分 比例 的 可 扩展 性 。 

在 极端 情况 下 ，FlexRay 基本 上 可 以 用 作 一 个 纯粹 的 时 间 张 动 或 一 个 纯粹 的 
事件 驱动 通信 方案 ; 而 实际 上 使 用 的 是 这 两 种 通信 机 制 的 混合 。 此 外 ， FlexRay 
通过 故障 安全 机 制 提供 支持 ， 以 提高 通信 的 可 靠 性 。 


5.1.3 FlexRay 的 历史 




















在 2005 年 ， 由 FlexRay 联盟 定义 了 FlexRay 协议 说 明 书 V2. 11095] FlexRay 
联盟 形成 于 宝马 和 戴 姆 勒 - 克莱斯勒 公司 之 间 的 合作 ， 寻 找 目 前 汽车 标准 CAN 
的 继任 者 并 作为 通信 标准 TTP 的 蔡 代 物 ， 未 来 的 应 用 在 确定 性 、 可 靠 性 、 同 步 
和 带宽 的 方面 要 求 很 高 ， 例 如 线 控 操 作 功 能 的 要 求 。 

该 联盟 作为 一 个 汽车 、 半 导体 和 电子 系统 制造 商 的 联盟 ， 成 立 于 2000 年 。 
在 2000 年 ， 其 发 起 成 员 是 宝马 、 戴 姆 勒 - 克莱斯勒 、 飞 利 浦 和 摩托 罗拉 。 目 前 ， 
FlexRay 联盟 又 加 入 了 包括 博世 、 通 用 汽车 、 福 特等 。 虽 然 在 2005 年 即 可 使 用 
FlexRay 套件 ， 但 在 2006 年 它 才 首次 被 引入 宝马 X5 系列 悬 架 系统 的 常规 产品 中 。 
























































5.2 FlexRay 通信 


在 一 个 FlexRay 集群 中 ， 节 点 间 的 信息 交换 是 基于 一 个 时 分 多 址 (TDMA) 
方案 ， 并 在 通信 周期 中 组 织 起 来 ， 这 个 过 程 在 网 络 启动 至 网 络 关闭 期 间 被 定期 执 
行 。 一 个 通信 周期 被 再 分 为 时 槽 ， 在 这 些 时 权 中 ， 信 息 从 一 个 发 送 器 传送 到 一 个 
或 多 个 接收 器 。 一 个 FlexRay 集群 的 时 间 表 决定 在 哪个 时 段 的 FlexRay 节点 将 被 
允许 发 送 其 所 谓 的 帧 。 本 章 第 5. 2. 1 节 至 第 5.2.4 节 将 介绍 FlexRay 帧 格式 、 通 
信和 周期 一 一 基于 媒体 访问 策略 以 及 通信 周期 的 静态 和 动态 部 分 。 


5.2.1 帧 格式 


如 图 5. 1 所 示 ，FlexRay 帧 由 三 个 部 分 组 成 : 帧 头 、 有 效 负载 和 帧 尾 。 

头 段 包括 通信 控制 器 用 来 检测 错误 的 帧 标识 符 、 有 效 载 荷 长 度 、 通 信 周 期 计 
数 需 以 及 下 面 的 协议 位 ; 

。 有 效 载 集 的 前 导 指 示 符 ， 发 出 信号 、 提 示 用 于 网 络 管理 或 扩展 信息 ID H 
的 的 可 选 载 体 是 否 位 于 有 效 载荷 部 分 的 第 一 个 字 节 。 

e 空 帧 指示 符 ， 判 定 帧 是 否 包含 可 用 数据 。 

。 同步 指示 符 ， 标 记 帧 是 否 由 用 于 全 局 时 钟 同步 的 通信 控制 器 使 用 。 

。 启动 帧 指示 符 ， 发 出 信号 、 提 示 帧 是 否 涉 及 FlexRay 启动 程序 。 
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有 效 负载 前 叶 指 示 符 
同步 帧 指示 符 
启动 帕 指 示 符 
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头 段 CRC 
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FlexRayhi 5+0 ~254)+3B 





图 5.1 FlexRay 帧 格式 [Fes5] 〔〈( 飞 思 卡 尔 半导体 公司 版 权 所 有 ，2004，2007) 


有 效 载 和 荷 部 分 包含 有 效 的 信息 交换 。 在 一 个 单一 的 FlexRay 帧 中 包含 的 载荷 
数据 量 从 0 到 254Byte。 

完整 的 帧 被 帧 尾 所 保护 ， 而 帧 尾 有 一 个 24bit 的 帧 循环 元 余 码 校 验 (CRC ) 。 
此 外 ， 部 分 头 段 也 由 一 个 汉 明 距离 为 6 的 11bit 头 段 CRC 所 覆盖 


5.2.2 通信 有 周期 


FlexRay 通信 发 生 在 有 一 个 预定 义 长 度 的 通信 周期 内 。 如 图 5.2 所 示 ， 一 个 
FlexRay 通信 周期 包括 一 个 强制 性 的 静态 段 和 一 个 可 选 的 动态 段 ， 以 及 一 个 或 两 
个 协议 段 ， 即 命令 性 的 网 络 闲置 时 间 (NIT) 和 可 选 的 符号 窗口 。 静 态 段 包括 若 
干 个 具有 相同 固定 时 限 的 静态 时 柳 。 动 态 段 由 所 谓 的 微小 时 槽 组 成 ， 它 们 可 被 主 
站 点 用 于 传输 可 变 有 效 载 荷 长 度 帧 、 零 星 的 帧 或 周期 高 于 通信 有 周期 的 帧 。 两 段 的 
时 槽 连续 编号 ， 并 在 第 一 个 静态 时 槽 位 置 开始 。 
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图 5.2 FlexRay 通信 周期 (DECOMSYS - 伊 莱 比特 成 员 ， 版 权 所 有 ， 已 获 许可 ) 
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符号 窗口 只 用 于 网 络 管理 的 目的 。 它 是 一 个 时 模 ， 其 中 媒体 访问 测试 符号 
(MTS) 可 以 在 网 络 上 传输 。 

在 NIT 中 ， 总 线 是 免除 通信 的 ，NIT 由 通信 控制 器 用 于 执行 时 钟 同 步 算法 。 
NIT 的 长 度 必须 在 系统 设计 时 就 被 设置 。NIT 有 足够 的 长 度 是 很 重要 的 ， 这 样 它 
才能 使 所 有 涉及 的 通信 控制 器 能 够 处 理 它们 的 计算 。 

一 个 FlexRay 通信 周期 的 最 小 配置 必须 包括 一 个 静态 段 和 NIT。 一 个 FlexRay 
集群 至 少 要 包括 两 个 节点 ， 并 因此 还 需要 至 少 两 个 静态 时 覃 来 保持 同步 。 

FlexRay 协议 通过 使 用 一 个 全 局 Obit 循环 计数 器 支持 了 64 个 通信 周期 的 差 
异 。 循 环 计数 器 的 值 在 每 帧 的 头 段 被 传输 。 这 种 差异 使 集群 的 一 个 节点 可 以 在 不 
同 通信 周期 〈 循 环 过 滤 ) 的 同一 时 槽 中 传输 不 同 的 帧 。 此 外 ， 所 谓 的 时 槽 或 循 
环 切 换 在 动态 段 中 是 可 以 做 到 的 ， 即 不 同 的 节点 可 以 在 同一 时 槽 中 、 但 不 同 的 周 
期 内 发 送 帧 。 除 了 全 局 的 FlexRay 时 基 ， 主 机 软件 也 可 以 使 用 为 指定 时 槽 的 同步 
软件 程序 而 设 的 循环 计数 器 ， 来 最 大 限度 地 减少 信号 延迟 。 


5.2.3 静态 段 


企 一 个 通信 有 周期 的 静态 段 ， 所 有 的 时 槽 都 有 相同 的 固定 持续 时 间 。PlexRay 
最 多 支持 两 个 FlexRay 通道 ， 并 且 每 个 时 模 专 属于 每 个 通道 的 一 个 通信 控制 需 来 
传输 1 帧 。 如 果 在 集群 拓扑 结构 中 提供 两 个 通道 ， 那 么 一 个 控制 器 可 以 使 用 一 个 
时 覃 来 进行 1 帧 的 元 余 传输 或 进行 两 个 不 同 帧 的 传输 。 第 三 种 可 能 性 是 两 个 不 同 
的 通信 控制 器 使 用 时 槽 来 传输 帧 ， 每 个 通道 上 一 个 。 图 5. 3a 说 明了 FlexRay 集 
群 拓扑 ， 图 5. 3b 给 出 了 一 个 在 一 个 通信 周期 中 静态 段 上 的 通信 案例。 节点 A 和 
节点 C 使 用 两 个 通道 上 的 时 权 1 和 时 权 3 来 进行 帧 的 宛 余 传输 ， 而 节点 B 只 连 
接 到 通道 b ， 并 在 时 槽 2 MINAS 4 中 传输 它 的 帧 。 节 点 D 也 使 用 时 槽 4 来 传输 
帧 ， 但 却 是 在 通道 a 上 。 节 点 C 和 节点 下 共享 时 柳 7 来 传输 它们 的 帧 。 在 时 覃 5 
中 ， 节 点 A 传送 两 个 不 同 的 帧 ; 时 槽 6、 时 槽 8、 时 槽 9 和 时 覃 10 并 不 使 用 。 

并 不 是 每 个 时 槽 都 必须 分 配 到 1 帧 ; 在 一 定 条 件 下 ， 为 节点 保留 一 个 确定 的 
带宽 是 有 意义 的 ， 因 为 这 个 带宽 将 在 稍 后 的 时 间 点 上 被 集成 到 集群 中 。 如 果 一 个 
静态 时 槽 在 一 个 通信 周期 中 没有 分 配 到 1 帧 ， 它 将 保持 空 态 ， 而 它 的 带宽 被 浪 
费 。 相 比 之 下 ， 一 个 已 分 配 到 时 槽 中 的 帧 ， 总 是 会 由 相应 的 通信 控制 器 来 发 送 。 

用 于 通信 控制 器 的 时 槽 固定 保留 带 来 了 强 有 力 地 保证 信息 延迟 的 益处 。 这 样 
可 以 精确 地 知道 何 时 一 个 特定 的 帧 将 在 一 个 通道 上 传输 ， 并 因为 通信 无 冲突 ， 所 
以 可 以 计算 出 最 差 情况 下 的 传输 时 间 。 

在 设计 阶段 ，FlexRay 需要 通信 调度 表 的 一 个 规范 。 这 个 调度 表 需 要 保留 通 
信和 控制 器 必需 的 信息 ， 例 如 ， 在 哪个 时 槽 它们 将 发 送 或 接收 帧 。 就 静态 段 中 帧 的 
传输 来 说 ， 用 于 项 态 段 帧 传输 的 通信 控制 器 配置 的 重要 参数 包括 了 时 槽 的 标识 符 
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到 5.3 静态 段 通信 案例 
(DECOMSYS - 伊 菜 比 特 成 员 ， 版 权 所 有 ， 已 获 许 可 ) 
a) 集群 样本 b) 几 个 静态 时 槽 中 的 帧 传输 


















































(时 槽 ID ) 、 通 道 和 循环 过 滤 信 息 。 

描述 重要 的 FlexRay 协议 性 能 的 低层 面 参 数 也 必须 在 系统 设计 阶段 指定 。 这 
些 参数 例如 静态 槽 的 数量 和 持续 时 长 、 通 信 周 期 的 长 度 和 动作 点 偏 移 一 一 也 就 是 
关于 时 槽 开始 帧 传输 的 延迟 。 参 数 是 网 络 配置 的 一 部 分 ， 且 在 所 有 参与 特定 
FlexRay 集群 通信 的 通信 控制 器 中 ， 它 们 必须 相同 。 对 于 每 个 通信 控制 器 ， 超 过 
50 个 参数 必须 在 系统 设计 阶段 通过 用 户 来 设置 。 为 了 简化 这 种 复杂 的 任务 ， 强 
烈 推荐 使 用 工具 支持 。 

除了 完整 的 确定 性 通信 时 序 ， 静 态 段 的 一 个 重要 特征 是 它 的 可 组 合 性 。 该 属 
性 在 汽车 制造 商 [原始 设备 制造 商 (OEM) ] 的 系列 产品 中 起 着 重要 作用 。 当 
OEM 和 其 供应 商 的 子 系统 被 整合 到 总 系统 时 ， 子 系统 的 行为 没有 被 影响 ， 这 是 
因为 在 静态 段 固定 的 时 间 相 关 行 为 防止 了 系统 通信 属性 的 改变 。 图 5. 4 举例 说 明 
了 FlexRay 的 组 合 性 。 供 应 商 1、 供 应 商 2 和 OEM 的 子 系统 整合 并 不 改变 通信 时 
序 即 静态 时 槽 的 位 置 。 


5.2.4 动态 段 


在 一 个 通信 周期 的 动态 段 ， 使 用 了 一 个 更 灵活 的 介质 访问 控制 方法 ， 即 所 谓 
的 灵活 TDMA (FTDMA) 计划 。 该 计划 基于 宝马 开发 的 Byteflight HX"), jig 







































































103 


coe 汽车 嵌入 式 系统 手册 








系统 集成 者 (OEM) 


图 5.4 FlexRay 组 合 性 案例 (DECOMSYS - 伊 菜 比 特 成 员 ， 版 权 所 有 ， 已 获 许可 ) 











于 优先 级 和 需求 驱动 。 动 态 段 被 划分 为 只 持续 很 短 时 间 的 微型 时 模 。 和 静态 权 相 
似 ， 这 些微 型 时 槽 可 以 分 配 到 帧 ， 但 如 果 控 制 顺 有 数据 要 发 送 才 会 开始 帧 的 传 
输 。 因 此 ， 由 主机 软件 在 运行 时 决定 1 帧 是 否 在 动态 段 传输 。 如 果 不 是 一 个 单一 
的 动态 帧 传输 ， 那 么 就 完全 不 会 使 用 通信 周期 的 动态 部 分 (图 5. Sa) 。 

微型 时 村 的 持续 时 间 不 足以 长 到 容纳 一 个 完整 的 帧 的 传输 。 假 使 微型 时 槽 不 
用 于 通信 ， 那 也 只 有 少量 的 带宽 被 浪费 。 然 而 ， 如 果 一 个 通信 控制 器 决定 在 一 个 
微型 时 槽 中 传输 1 帧 数据 ， 那 么 这 个 微型 时 槽 要 被 扩大 到 足够 的 时 槽 大 小 ( 例 
如 ， 几 5. 5b 中 通道 a 上 的 柳 4)。 动 态 帧 的 有 效 载 集 长 度 不 是 预先 确定 的 ， 它 可 
以 在 运行 时 通过 主机 软件 改变 。 它 只 能 由 通信 控制 器 的 缓冲 区 大 小 来 限制 。 随 着 
微型 时 槽 的 扩大 ， 在 动态 段 中 的 可 用 微型 时 权 的 数量 在 减少 。 在 动态 部 分 的 早期 
阶段 ， 发 送 的 帧 越 多 ， 那 么 在 动态 段 末 点 帧 传输 的 机 会 就 越 小 。 因 此 ， 在 动态 段 
的 帧 传输 按 优先 级 驱动 ;在 微型 时 槽 中 ， 标 识 符 较 低 的 帧 具有 更 高 的 优先 级 。 一 
个 被 要 求 传输 却 没 能 在 通信 周期 发 送 的 帧 ， 那 么 会 被 控制 器 在 下 个 周期 中 在 相同 
的 时 槽 中 发 送 。 

在 周期 时 间 中 ， 取 决 于 上 个 动态 时 槽 中 的 传输 数量 和 长 度 的 微型 时 槽 的 推 
B, 导致 了 一 个 动态 段 逻 辑 细 分 为 两 部 分 。 在 确保 的 动态 段 ， 所 有 预定 的 帧 将 独 
立 于 总 线 负载 传输 。 在 动态 段 的 其 余部 分 ， 实 际 通信 周期 中 帧 的 传输 并 不 确定 。 
在 这 里 ， 如 果 最 近 的 动态 传输 起 点 (一 个 必须 被 用 户 预 定义 的 协议 参数 ) 没 被 
通过 ， 那 么 通信 控制 器 将 仅仅 开始 传输 。 在 图 5. 5b 的 案例 中 ， 应 该 在 通道 a 的 
时 槽 11 中 传输 的 帧 下 将 不 会 在 当前 周期 内 被 传输 ， 这 是 因为 在 当前 动态 段 的 上 
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静态 字段 动态 字段 Swin|NIT 


ry aa 1 2 3 4}5]6) 7/8) 9 hol 1}t2h 314i si6h7) 181 92021 b2}2314)5o6p 72812 1 B2i3334358657138) 0 0 1 
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5.5 动态 段 传输 案例 
(DECOMSYS - FK ELERA RINA. 已 获 许可 ) 
a) 在 动态 槽 中 没有 帧 的 传输 b) 在 动态 槽 中 几 个 帧 的 传输 
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5.3 FlexRay 协议 


5.3.1 协议 架构 


在 FlexRay 中 ,“ 人 集群” 是 一 组 由 一 个 或 两 个 “通道 ”连接 起 来 的 “节点 ”。 
一 个 集群 的 所 有 节点 都 有 一 个 共同 的 全 局 时 钟 。 一 个 节点 是 由 一 个 主机 和 一 个 
FlexRay 控制 器 组 成 的 。 控 制 器 负责 节点 之 间 的 通信 ， 而 主机 运行 操作 系统 和 应 
用 软件 。 集 群 的 物理 互联 可 能 是 一 个 总 线 或 星 形 拓扑 结构 ， 甚 至 可 能 是 它们 的 混 
合 物 。 一 个 FlexRay 节点 的 架构 如 图 5.6 所 示 。 在 FlexRay 的 环境 下 ， 应 用 程序 、 
0S/ 中 间 件 和 微 控 制 器 (图 中 表示 为 灰色 ) 被 称 为 “主机 ”，FlexRay 控制 器 
(表示 为 黑色 ) 简称 为 “控制 器 *”， 而 主机 、 控 制 器 和 可 选 总 线 监 护 (RN BG, 
见 5.3.4 节 ) 的 组 合 称 为 “节点 ”。 

如 图 5.7 所 示 ， 存 在 两 种 可 用 于 FlexRay 的 基本 拓扑 结构 : 总 线 和 主动 星 
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图 5.6 一 个 FlexRay 节点 的 架构 
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图 5.7 总 线 拓扑 架构 (Fe) 和 主动 星 形 拓扑 架构 (A) 







































































形 。 在 “总 线 拓扑 结构 ”中 ， 所 有 的 节点 都 被 连接 到 同一 物理 控制 线 上 ， 而 在 
“主动 星 形 拓扑 结构 ”中 ， 每 个 节点 都 被 直接 连接 到 星 形 耦合 器 上 。 在 这 两 种 情 
况 下 ,一 个 节点 可 以 连接 到 任 一 通道 或 两 个 通道 上 。 一 个 集群 也 可 能 使 用 总 线 和 
星 形 拓扑 结构 的 混合 物 。 在 这 两 种 拓扑 结构 中 ， 控 制 线 的 末端 都 必须 由 一 个 电阻 
来 结 


5.3.2 Wakeup (唤醒 ) 和 Starup (启动 ) 协议 


正如 5.2 节 中 所 描述 的 那样 ， 在 一 个 集群 可 以 开始 通信 之 前 ， 它 必须 被 初始 
化 。 在 FlexRay 中 ， 集 群 的 初始 化 由 两 个 阶段 组 成 : “唤醒 ”和 “局 动 "。 在 唤 
醒 阶 段 ， 集 群 的 节点 被 供电 ， 并 且 主 机 启动 自己 的 操作 系统 。 在 启动 阶段 的 时 钟 
同步 后 ， 节 点 进入 正常 运行 。 接 下 来 将 详细 介绍 启动 和 初始 阶段 。 

在 唤醒 和 启动 时 ， 有 一 些 节 点 起 特殊 作用 : 唤醒 节点 和 冷 启 动 节点 。“ 唤 醒 
节点 ”是 一 个 通过 发 送 一 个 唤醒 模式 来 唤醒 一 个 沉睡 集群 的 节点 。“ 冷 启动 节 
点 ”是 一 个 在 启动 阶段 发 送 启动 帧 的 节点 。 一 个 唤醒 节点 不 需要 成 为 一 个 冷 启 
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动 节点 ， 反 之 亦 然 。 
接 下 来 仅 讨论 无 错 情况 ， 而 存在 错误 时 的 行为 ， 请 查阅 规范 [FPS05 ] 。 


5.3.3 唤醒 


图 5. 8 描绘 了 一 个 集群 的 唤醒 。 妆 集群 处 于 睡眠 中 ， 而 集群 的 第 一 个 节点 由 
一 个 外 部 事件 唤醒 时 ， 它 启动 它们 的 操作 系统 并 设置 FlexRay 控制 融 。 一 次 只 唤 
醒 一 个 通道 ， 以 防 有 故障 的 主机 干扰 在 两 个 通道 上 的 一 个 已 运行 的 集群 的 通信 。 
因此 主机 必须 选择 通道 来 唤醒 。 主 机 通知 控制 器 给 此 通道 发 送 “唤醒 模式 ”。 一 
且 其 他 控制 融 收 到 此 唤醒 模式 ， 它 们 将 唤醒 它们 的 主机 。 新 唤醒 的 节点 之 一 将 唤 
醒 第 二 个 通道 ， 而 它 将 以 与 第 一 个 通道 相同 的 方式 工作 。 由 于 至 少 要 两 个 节点 才 
能 启动 集群 ， 因 此 第 一 个 节点 等 待 一 段 预定 的 时 间 ， 在 这 段 时 间 里 至 少 有 一 个 其 
他 节点 假定 是 准备 好 启动 的 。 然 后 被 唤醒 节点 将 进入 启动 阶段 。 


BST eI ab 
PE 
























































图 5.8 集群 唤醒 865] (NXP 版 权 所 有 . 已 获 许可 ) 


启动 

如 图 5. 9 所 示 ， 在 启动 阶段 存在 三 种 不 同类 型 的 节点 : 一 个 真正 的 主 冷 启动 
节点 、 至 少 一 个 紧 随 的 冷 启动 节点 和 任意 数量 的 非 冷 启动 节点 。 如 果 一 个 冷 启动 
节点 处 于 启动 模式 且 没 有 收 到 任何 通信 ， 那 么 该 节点 将 成 为 “ 主 冷 启动 节点 ”。 
如 采 它 接收 了 通信 ， 那 么 将 成 为 “ 紧 随 的 冷 启动 节点 ”"， 因 为 它 假定 这 里 已 经 有 
一 个 主 冷 启动 节点 。 

主 冷 启动 节点 首先 发 送 冲 突 符号 (CAS) ， 然 后 通过 传输 它 的 “启动 帧 ”开始 
第 一 个 通信 周期 。CAS 用 于 检测 是 否 多 于 一 个 冷 启动 节点 正在 尝试 启动 。 每 个 冷 
启动 节点 都 有 一 个 真正 的 启动 帧 ， 一 个 在 头 段 具有 启动 和 同步 位 设置 的 帧 (参见 
5.2.1 节 ) 。 经 过 四 个 周期 ， 主 冷 启动 节点 接收 紧 随 的 冷 局 动 节点 的 局 动 帧 。 如 果 
和 其 他 冷 启 动 节 点 的 时 钟 同步 是 成 功 的 ， 那么 主 冷 启动 节点 将 进入 正常 运行 。 
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冷 启动 收听 冷 后 动 冲突 
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一 个 紧 随 的 冷 局 动 节点 一 直 等 到 它 从 主 冷 启动 节点 接收 到 两 个 连续 的 帧 。 这 
两 帧 需要 构造 一 个 初步 的 调度 表 。 如 果 成 功 ， 它 将 收集 随后 的 两 个 周期 的 所 有 同 
步 帧 ， 并 执行 时 钟 同 步 。 在 时 钟 同步 初始 化 成 功 后 ， 它 开始 发 送 它 的 启动 帧 。 如 
果 三 个 以 上 的 周期 都 没有 错误 ， 那 么 紧 随 的 冷 局 动 节点 将 进入 正常 运行 。 

一 个 “ 非 冷 启动 节点 ”一 直 等 到 它 从 主 冷 启 动 节 点 接收 到 两 个 连续 帧 。 它 
按照 初始 调度 表 对 两 帧 执行 时 钟 同步 。 对 于 接 下 来 的 四 个 周期 ， 它 收集 所 有 的 同 
步 帧 并 执行 时 钟 同步 。 如 果 成 功 ， 它 将 进入 正常 运行 。 非 冷 启 动 节点 和 紧 随 的 冷 
启动 节点 间 的 主要 区 别 在 于 : 非 冷 启动 节点 在 启动 时 不 发 送 任 何 帧 。 

按照 这 一 方案 ， 如 果 没 有 错误 发 生 ， 所 有 节点 在 第 7 个 周期 结束 时 完成 启 
动 。 节 点 的 启动 和 节点 进入 一 个 正在 运行 的 集群 中 的 “重新 整合 ”是 相同 的 。 


5.3.4 ”时 钟 同步 


在 诸如 FlexRay 的 TDMA 网 络 中 ， 一 个 集群 的 所 有 节点 需要 一 个 共同 的 全 局 时 
钟 ， 目 的 在 于 所 有 节点 只 在 自己 的 时 槽 中 发 送 (信号 )。 在 系统 启动 阶段 ， 节 点 的 
所 有 本 地 时 钟 必须 同步 以 提供 全 局 时 间 。 每 个 节点 都 有 一 个 本 地 时 钟 发 生 器 ， 该 发 
生 器 通常 是 基于 石英 晶体 的 共振 频率 。 由 于 两 种 晶体 很 少 有 完全 相同 的 共振 频率 ， 
所 以 本 地 时 钟 在 操作 过 程 中 开始 漂移 分 开 。 一 个 典型 的 石英 晶体 有 量 级 为 50 x 
10 的 精度 。 唱 体 的 频率 并 不 能 静态 确定 ， 因 为 它 也 受到 外 部 因素 的 影响 ， 如 温 
度 和 振动 :2]。 因 此 ， 在 系统 的 操作 过 程 中 必须 定期 同步 本 地 时 钟 。 

由 于 完美 的 同步 在 分 布 式 系统 中 是 不 可 能 实现 的 ， 因 此 全 局 时 钟 在 所 有 节点 
上 并 不 完全 相同 ,但 是 本 地 时 钟 间 的 差异 有 一 个 上 限 。 假 设 这 个 界限 对 于 应 用 程 
序 域 而 言 足够 低 ， 那 么 一 个 共同 的 全 局 时 间 可 以 被 假定 在 一 些 抽象 的 水 平 上 。 下 
面 将 介绍 FlexRay 的 定时 机 制 和 时 钟 同步 算法 。 

5.3.4.1 FlexRay 的 定时 

FlexRay 中 的 时 间 由 三 个 部 分 来 定义 ， 它们 包括 : 周期 、 宏 拍 (macrotick ) 
计时 器 和 微 拍 (microtick) 计数 器 ， 其 中 一 个 周期 由 几 个 宏 拍 层 组 成 ， 晶 一 个 宏 
拍 又 由 几 个 微 拍 组 成 ， 如 图 5. 10 所 示 。 由 于 宏 拍 在 所 有 节点 上 是 同步 的 ， 所 以 
每 个 周期 的 宏 拍 的 数量 对 于 整个 集群 而 言 是 一 个 常数 。 微 拍 是 由 本 地 时 钟 发 生 器 
产生 的 ， 因 而 当前 微 拍 的 值 仅 在 一 个 节点 内 有 效 。 每 个 宏 拍 中 的 微 拍 数 取决 于 本 
地 时 钟 频率 ， 并 且 对 于 每 个 节点 它 也 是 不 同 的 。 在 运行 过 程 中 ， 将 调整 该 数 以 适 
应 不 同 节点 的 时 钟 同步 。 

FlexRay 的 时 钟 同步 算法 是 韦 尔 奇 - 林 奇 算法 Iw33] 的 扩展 。 主 机 的 本 地 时 钟 
可 与 FlexRay 的 全 局 时 间 同 步 ， 以 便 在 主机 上 运行 的 应 用 程序 也 有 一 个 集群 范围 
的 时 间 的 同步 概念 (参见 5. 4. 1 节 ) 。 全 局 时 钟 也 可 以 在 两 个 集群 间 同 步 或 基于 
一 个 外 部 时 间 源 来 同步 。 
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只 在 静态 段 时 进行 定时 的 测量 ， 并 且 在 动态 段 时 和 /或 NIT 时 计算 修正 值 
(参见 5.2.2 节 )。 





t— 
通信 周期 呈 (Lo 二 i) 3 = "=" [62 | (63) | 










vCycleCounter cCycleCountMax 


gdCycle 










AME 


vMacrotick gMacroPerCycle-1 







gdMacrotick 














微 折 层 上 





vMicrotick pdMicrotick 

















图 5.10 ”定时 层级 (P35] ( 飞 思 卡 尔 半 导体 公司 版 权 所 有 ， 包 括 2004, 2007. 已 获得 许可 ) 





5.3.4.2 ”时 钟 漂移 的 测量 

一 个 节点 可 以 通过 观察 其 他 节点 的 帧 的 到 达 时 间 来 计算 其 本 地 时 钟 和 其 他 节 
点 的 不 同时 钟 的 定时 误差 。 这 种 方式 不 需要 额外 的 通信 。 

每 当 一 个 节点 从 另 一 个 节点 接收 一 个 同步 帧 时 ， 一 个 时 间 标 记 将 随 此 帧 一 起 
存储 。 一 个 同步 帧 是 有 一 组 同步 位 的 帧 (参见 5. 2. 1 节 ); 不 考虑 非 同步 帧 的 时 
钟 同步 。 所 有 同步 帧 的 奇数 和 偶数 周期 数 的 偏差 被 分 别 储存 。 基 于 这 些 测量 来 计 
算 时 钟 修正 值 。 测 量 结果 的 一 个 案例 见 表 5. 1。 


表 5.1 测量 结果 差异 的 案例 











帧 同步 位 。 期 望 值 ”偶数 周期 测量 结果 奇数 周期 测量 结果 ”补偿 差异 比率 差 
1 + 10 11 12 2 1 

2 + 20 19 18 -2 -1 
3 £ 30 33 33 

4 z 40 41 39 

5 + 50 52 51 1 -1 


5.3.4.3 校正 值 的 计算 

FlexRay 采用 了 两 种 不 同 校正 值 的 组 合 : 补偿 校正 和 比率 校正 。 补 偿 校正 用 
于 减少 当前 的 时 钟 偏差 ， 而 比率 校正 用 于 预测 时 钟 偏 移 率 ， 如 图 5. 11 中 描绘 的 
四 个 本 地 时 钟 。 灰 色 垂 直线 表示 时 钟 校正 的 应 用 。 

“容错 中 点 算法 ”so5] 被 用 于 计算 校正 值 。 该 算法 接收 一 列 数字 作为 输入 ， 
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图 5.11 时 钟 同步 算法 补偿 校正 ( 左 )、 比 率 校正 (中 )、 
补偿 校正 和 比率 校正 的 结合 A) 





并 发 送 中 点 作为 输出 。 表 5. 2 描述 了 该 算法 的 一 个 案例 。 从 首 列 中 删除 个 最 大 
数 和 上 个 最 小 数 ， 从 而 排除 了 个 可 能 出 现 故 障 的 影响 时 钟 同步 的 节点 ， 获 得 第 
2 列 。 根 据 输入 值 的 数量 来 选择 参数 :1 或 2 个 输入 值 , k =0; 3 至 7 个 输入 
值 , k=1; 大 于 7 个 输入 值 ，k =2。 在 这 一 步 之 后 ,算法 将 保留 最 大 和 最 小 的 元 
素 在 第 3 列 中 ， 并 在 第 4 列 中 返回 这 两 个 值 的 平均 值 。 














表 5.2 容错 中 点 算法 的 案例 

输入 值 删除 =2 个 最 小 值 和 =2 个 最 大 值 保留 最 小 值 和 最 大 值 取 平 均 

-25 

-12 

-7 -7 -7 

-3 -3 

0 0 (-7+5) +2= -1 
4 4 

5 5 5 

8 

19 

在 每 个 奇数 通信 周期 中 计算 “补偿 校正 ” 值 。 将 计算 这 个 周期 中 接收 的 每 





个 同步 帧 预计 到 达 时 间 和 实际 到 达 时 间 之 间 的 差 。 应 用 容错 中 点 算法 于 该 列表 ， 
并 且 发 送 一 个 补偿 校正 值 。 如 果 校 正 值 处 于 一 定 的 范围 内 ， 那么 它 将 应 用 于 周期 
结束 时 。 在 表 5. 1 的 案例 中 ,“ 补 偿 误差 ”一 列表 示 “ 预 计 值 ” 和 “奇数 周期 测 
量 值 ” 两 列 数 之 间 的 差 。 在 该 案例 中 ， 此 补偿 误差 结果 是 1 。 

在 奇数 通信 有 周期 中 计算 的 “比率 校正 ” 值 ， 是 基于 当前 和 之 前 偶数 周期 测 
量 值 。 对 于 每 个 测量 的 同步 帧 ， 将 计算 这 个 周期 和 上 个 周期 的 偏差 值 的 差 。 它 将 
给 其 他 每 个 节点 发 送 一 个 漂移 率 。 把 容错 中 点 算法 应 用 到 这 些 漂 移 率 上 ， 并 将 比 
率 校 正 值 发 送 给 该 节点 。 同 样 的 ， 如 果 校 正 值 在 一 定 的 范围 内 ， 那 么 它 将 在 这 个 
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周期 结束 时 被 应 用 。 在 表 $. 1 的 实例 中 ， 补 偿 误 差 按照 “偶数 周期 测量 值 ” 和 
“奇数 周期 测量 值 ”之 间 的 差 来 计算 。 在 该 案例 中 ， 比 率 误 差 是 -1。 

5.3.4.4 校正 值 的 应 用 

当前 的 校正 值 被 应 用 于 当前 周期 的 NIT 中 。 补 偿 校 正在 每 个 奇数 周期 中 执 
行 ， 而 比率 校正 在 其 接 下 来 的 偶数 周期 中 执行 。 

如 图 $. 12 所 示 ， 补 偿 校正 值 被 简单 地 添加 到 NIT 中 ， 从 而 缩短 或 延长 通信 
周期 的 总 长 度 。 


媒体 访问 











调度 (MAC) 


Dee 































测量 数值 
il) Et BT Be 


比率 校正 值 计 算 ”补偿 校正 值 计算 











图 5. 12 校正 值 的 应 用 WY35] ( 飞 思 卡尔 半导体 公司 版 权 所 有 ， 
包括 2004, 2007, 已 获 许可 ) 














比率 校正 值 被 添加 到 每 个 周期 的 微 拍 数 中 。 因 为 每 个 周期 的 微 拍 数 是 静态 
的 ， 因 此 基于 每 个 周期 的 新 的 微 拍 数 ， 计 算出 每 个 宏 拍 的 微 拍 数 。 因 此 ， 比 率 校 
正 值 将 影响 接 下 来 的 两 个 周期 的 长 度 ， 它 们 是 要 重新 评估 的 。 


5.3.5 容错 机 制 


除了 在 时 钟 同 步 算法 中 应 用 的 机 制 外 ， 针 对 容错 系统 ，FlexRay 还 提供 了 几 
个 其 他 的 机 制 来 补偿 其 他 通信 故障 。 

其 中 的 一 个 策略 是 宛 余 。 一 个 集群 可 以 使 用 两 个 单独 的 通信 通道 。 这 两 个 通 
道 通过 使 用 不 同 的 物理 拓扑 结构 ， 使 物理 故障 不 容易 扰乱 整个 集群 。 当 使 用 两 个 
通道 时 ， 一 条 信息 可 以 分 别 在 两 个 通道 的 不 同时 槽 中 发 送 。 因 此 ， 一 个 短暂 的 错 
误 只 会 造成 延迟 而 非 信 息 丢 失 。 

同 大 多 数 通 信 协 议 一 样 ，FlexRay 使 用 一 个 24bit 的 CRC 来 处 理 总 线 上 的 位 
错误 。 在 这 种 情况 下 出 现 未 被 发 现 的 网 络 错误 的 概率 小 于 6 x 10 -8*。 对 于 每 秒 
10 000 条 信息 和 一 个 无 相关 的 位 错误 的 10-5 的 估计 率 ， 这 意味 着 每 小 时 大 约 有 
2 x10 -个 未 被 发 现 的 错误 的 帧 ma 。 换 名 话说 ， 这 也 意味 着 在 6000h 的 平均 
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运行 寿命 内 ， 只 有 1% 的 车 辆 会 出 现 一 个 未 被 发 现 的 错误 帧 [xso51 。 

在 一 些 领 域 中 ，FlexRay 使 用 故障 包容 方法 以 确保 一 个 节点 的 本 地 故障 不 会 
中 断 其 余 集群 的 通信 。 一 个 突出 的 故障 包容 方法 是 总 线 监控 。 该 方法 根据 拓扑 结 
构 观 察 一 个 或 一 个 以 上 控制 絮 ， 同 时 在 一 个 指定 的 时 槽 内 只 允许 一 个 控制 絮 在 总 
线 上 传输 。 在 时 槽 外 部 ， 总 线 监控 会 过 滤 控 制 右 的 所 有 传输 。 这 将 确保 “胡言 
乱 语 ”不 会 中 断 完 整 节点 的 通信 。 在 FlexRay 中 ， 存 在 两 个 可 放置 总 线 监 控 的 位 
置 : 如 图 5.6 所 示 , “市 点 本 地 ”总 线 监控 位 于 每 个 节点 上 ; 而 如 图 5.7 所 示 ， 
“中 央 ” 总线 监控 集成 到 星 形 灯 合 右 中 。 

针对 关键 的 安全 应 用 ， 可 能 还 需要 进一步 的 机 制 ， 比 如 消息 确认 和 隶属 度 和 天 
量 。 由 于 它们 不 是 FlexRay 的 一 部 分 ， 因 而 它们 必须 在 一 个 更 高 的 协议 层 中 
实施 。 












































5.4 FlexRay 应 用 


本 节 描 述 的 重点 放 在 对 应 用 FlexRay 有 必要 且 有 用 的 软件 组 件 和 实施 策略 
上 。 此 外 ， 也 简要 概述 了 可 以 支持 软件 开发 人 员 和 测试 工程 师 的 工具 。 


5.4.1 FlexRay 实施 


对 于 FlexRay 通信 系统 而 言 ，FlexRay 驱动 器 和 相关 的 通信 和 层 为 应 用 开发 人 
员 提 供 了 一 个 易于 使 用 的 帧 或 基于 信和 号 的 接口 。 这 些 软件 模块 一 般 由 网 络 设计 工 
具 来 设置 。 目 前 市 场 上 有 好 几 种 FlexRay 驱动 器 和 配置 工具 解决 方案 ， 它 们 在 性 
能 、 可 用 性 、 功 能 和 价格 上 各 不 相同 。 然 而 ， 在 将 来 ， 汽 车 开放 系统 架构 (AU- 
TOSAR; 见 第 2 章 ) 0 AUT) 标准 将 越 来 越 与 汽车 制造 商 的 项 目 关 系 紧 密 。 其 中 ， 
FlexRay 驱动 器 和 FlexRay 接口 模块 将 在 AUTOSAR 中 规定 ， 且 将 越 来 越 多 地 用 于 
硬件 平台 。 

FlexRay 应 用 开发 需要 一 些 关 于 系统 架构 的 基本 决定 。 关 于 FlexRay 全 局 时 
间 和 应 用 程序 间 的 同步 有 三 种 可 能 情况 : 

。 应 用 程序 和 FlexRay 通信 和 异步 执行 。 

e 应 用 程序 在 FlexRay 全 局 时 间 上 同步 。 

。 部 分 应 用 程序 在 FlexRay 全 局 时 间 上 同步 运行 。 

如 果 应 用 程序 在 FlexRay 全 局 时 间 上 同步 运行 ,那么 可 以 达到 信号 延迟 的 最 
佳 歼 果 。 在 这 种 情况 下 ， 传 输 节 点 的 应 用 软件 可 以 在 时 槽 即将 在 一 致 的 帧 传输 开 

台 前 ， 把 更 新 的 数据 发 送 给 通信 控制 顺 。 只 要 数据 帧 也 与 FlexRay 全 局 时 间 同 

步 ， 那 么 接收 节点 的 应 用 程序 可 以 在 帧 被 接收 之 后 ， 立 即 读 取 来 自 通信 控制 器 的 
数据 。 这 种 情况 的 案例 如 图 5.13 所 示 。 这 种 从 一 个 ECU 的 发 送 任务 到 另 一 个 
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ECU 的 接收 任务 的 短 的 、 固 定 上 且 有 保证 的 延迟 数据 ， 人 允许 了 高 层次 的 分 布 式 控 
制 系统 的 建立 。 因 为 有 了 这 项 确定 性 ，FlexRay 对 于 可 靠 的 安全 子 系统 或 驾驶 动 
力 系统 十 分 方便 。 连 同 两 个 通道 上 的 通信 宛 余 选项 ，FlexRay 也 进而 适合 于 容错 
线 控 系 统 的 建立 。 

通过 通信 控制 器 的 中 断 或 者 通过 支持 外 部 时 间 同 步 机 制 (如 OSEK 时 间 ) 
的 实时 操作 系统 ， 可 以 实现 应 用 程序 和 FlexRay 通信 之 间 的 同步 。 
















控制 器 
ECU 
ECU 任务 
FlexRay 通 信 


{ 
图 5.13 FlexRay 控制 系统 案例 ( 伊 莱 比 特 成 员 DECOMSYS， 版权 所 有 ， 已 获得 许可 ) 


由 于 种 种 原因 ， 存 在 应 用 程序 和 FlexRay 通信 之 间 不 可 能 实现 同步 或 不 需要 
同步 的 情况 。 例 如 ， 在 一 个 电动 机 控制 单元 中 ， 软 件 必须 与 电动 机 旋转 速度 同步 
运行 且 不 适合 于 男 一 个 时 基 。 在 这 种 情况 下 ， 应 该 只 使 用 支持 这 个 同步 操作 的 通 
信和 控制 器 。 但 即使 如 此 ， 也 不 可 能 实现 对 系统 行为 关于 精确 信号 延迟 的 控制 。 例 






































如 ， 如 果 一 个 应 用 程序 任务 在 一 致 的 时 槽 通过 不 久 后 就 向 通信 控制 器 写 人 数据 ， 
那么 通信 控制 器 必须 “等 待 ” 分 配 到 帧 的 下 一 个 时 权 。 不 能 预测 数据 最 终 将 在 
哪个 通信 周期 内 被 发 送 ;“ 只 有 一 个 最 坏 情 况 的 延迟 值 可 以 被 确定 ”"。 如 果 一 个 
信和 号 组 分 布 于 一 个 以 上 的 帧 内 ， 那 么 将 无 法 保证 信号 间 的 一 致 性 。 因 此 ， 一 个 完 
全 异步 运行 的 应 用 程序 是 不 可 取 的 。 

如 果 应 用 程序 必须 与 FlexRay 通信 异步 运行 ,那么 另 一 个 选择 是 只 将 
FlexRay 相关 的 通信 和 层 与 FlexRay 全 局 时 间 同 步 。 尤 其 是 负责 应 用 程序 和 通信 控 
制 器 之 间 数 据 传输 的 FlexRay 通信 任务 ， 在 这 种 情况 下 它们 将 被 同步 ， 然 后 执行 
时 间 解 耦 。 


5.4.2 FlexRay 工具 支持 


在 FlexRay 集群 中 ， 没 有 工具 支持 的 节点 手动 设置 非常 耗 时 且 容 易 出 错 。 在 
一 个 FlexRay 集群 中 ， 错 误 的 调度 或 节点 设置 一 般 需 要 复杂 且 昂 贵 的 错误 分 析 。 
因此 ， 在 大 多 数 情 况 下 工具 支持 是 必 不 可 少 的 。 

通常 情况 下 ，FlexRay 网 络 设计 工具 认可 节点 硬件 架构 、 通 信 调 度 设计 、 软 
件 任务 时 间 表 设计 以 及 节点 配置 生成 等 的 规定 。 除 此 之 外 ,一些 工 具 支 持 OEM/ 
供应 商 的 开发 过 程 。OEM 开发 分 布 式 应 用 程序 ， 并 且 设 计 ECU 网 络 、 功 能 、 通 
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信 时 间 表 和 全 局 FlexRay 参数 。 随 后 ， 它 们 提供 ECU 供应 商 关 于 其 特定 ECU 的 
所 有 信息 。ECU 供应 商 输入 信息 到 一 个 设置 工具 中 ， 通 过 ECU 的 特定 信息 扩大 
这 种 设置 ， 并 生成 ECU 的 源 代 码 设置 文件 ， 所 有 过 程 并 不 费力 。 扩 展 标记 语言 
(XML) 文件 一 般 用 于 数据 交换 。 

FlexRay 的 监测 和 分 析 工 具 对 于 分 布 式 应 用 程序 的 开发 来 说 也 是 十 分 重要 的 。 
这 些 工具 通常 用 于 监测 和 记录 网 络 的 启动 和 持续 通信 。 在 出 现 故障 的 情况 下 ， 分 
析 工 具 向 FlexRay 用 户 提供 详细 的 启动 和 通信 信息 ， 甚 至 可 能 为 进一步 的 测量 设 
备 〈 如 用 于 捕捉 一 个 毁坏 的 FlexRay 帧 示波器 ， 以 便 进一步 分 析 ) 提供 一 个 触发 
输出 。 为 了 实现 发 现 分 布 式 系统 中 的 逻辑 故障 的 目标 ， 工 具 用 于 同时 监测 不 同 的 
通信 系统 和 硬件 接口 ， 如 CAN、FlexRay 、 数 字 和 模拟 信号 。 

对 于 ECU 的 开发 和 测试 ， 并 不 是 始终 能 够 提供 集群 内 其 他 所 有 的 ECU 作为 
通信 合作 伙伴 。 甚 至 对 于 FlexRay 网 络 启动 ， 也 需要 至 少 存在 一 个 启动 的 合作 伙 
伴 。 此 外 ,通常 也 有 必要 用 适用 的 数据 刺激 ECU， 以 防 它 进入 错误 状态 。 为 此 ， 
从 一 个 简单 的 “启动 伙计 ”到 FlexRay 的 硬件 回路 测试 平台 ， 各 种 集群 的 仿真 解 
决 方案 早已 可 用 。 









































5.5 总结 





FlexRay 旨 在 为 动力 总 成 、 底 盘 和 车 身 控制 方面 的 汽车 高 速 控 制 应 用 程序 的 
先进 通信 技术 提供 可 用 性 、 可 靠 性 和 带宽 ， 从 而 提高 车 辆 的 安全 性 、 可 靠 性 和 和 舒 
适 性 。 这 就 需要 有 保证 的 可 用 性 、 可 靠 性 和 带宽 的 “规定 ”和 “应 用 程序 ”。 
此 ， 将 FlexRay 作为 通信 技术 采用 ， 随 之 而 来 的 是 关于 它 的 发 展 过程 以 及 预期 性 
能 验证 影响 的 一 些 问题 ， 这 个 影响 不 包括 上 一 方 已 经 讨论 过 的 关于 协议 的 技术 特 
点 的 问题 。 


5.5.1 研发 的 影响 因素 


FlexRay 一 一 由 于 其 混合 字符 一 一 结合 了 时 间 驱 动 和 事件 驱动 的 交互 模式 ， 
前 者 采用 (预定) 周期 性 交互 ， 后 者 则 采用 (REX) 零星 交互 。 同 其 他 域 的 
敬 入 式 系统 一 样 ， 由 于 资源 使 用 效率 的 冲突 目标 (例如 ,未 使 用 的 静态 保留 处 
理 /通信 槽 ) 和 功能 的 可 靠 性 (未 定义 的 过 程 执行 /信息 传输 延迟 )， 无 论 是 事件 
驱动 还 是 时 间 了 驱动， 它们 在 汽车 系统 的 建立 中 都 有 各 自 的 要 点 。 

在 描述 控制 流程 的 功能 时 ， 自 然 存在 按时 间 驱 动 或 者 按 事 件 驱 动 的 任务 。 例 
如 ， 在 发 动机 管理 的 点 火 控制 中 有 每 个 域 的 子 任务 。 点 火 时 间 的 控制 取决 于 发 动 
机 曲轴 的 位 置 ， 而 发 动机 的 曲轴 位 置 由 表征 飞轮 零 位 的 (零星 ) 事件 来 定义 ; 
喷 油 量 的 计算 取决 于 当前 加 速 踏板 的 位 置 所 要 求 的 量 ， 它 由 表征 要 求 有 效 性 的 最 
大 (周期 ) 时 间 决 定 。 
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类 似 地 ， 在 考虑 通信 时 ， 信 息 寻 址 设置 、 维 护 和 系统 诊断 具有 有 零星、 事件 驱 
动 的 性 质 ， 而 信息 寻 址 连续 物理 过 程控 制 具 有 周期 性 的 、 时 间 驱 动 的 性 质 。 

与 处 理 任务 的 调度 相反 ， 由 于 包括 不 同 运行 模式 通信 网 络 的 可 用 带宽 与 许可 
的 延迟 和 全 局 分 布 信 号 周期 的 原因 ， 因 而 在 许多 情况 下 ， 总 线 使 用 效率 在 调度 通 
信任 务 中 变 得 不 如 传输 的 可 靠 性 来 得 重要 。 

其 他 两 个 相互 冲突 的 、 受 时 间 驱 动 和 事件 驱动 的 选择 影响 的 系统 开发 目标 是 
系统 设计 的 “灵活 性 ”和 “安全 ”。 为 了 确保 系统 的 安全 方面 ， 必 须 建 立 对 系统 
性 能 的 保证 (例如 ， 激 活 碰撞 传感器 和 安全 气 吉 点 火 之 间 的 最 大 延迟 )。 通 过 由 
组 件 提供 的 强 有 力 的 ( 即 确定 性 和 静态 ) 保证 ， 将 极 大 地 促进 整个 系统 的 可 预 
见 性 (例如 ,确定 性 和 静态 处 理 和 通信 延迟 )。 像 航空 电子 设备 这 样 的 注重 安全 
性 多 于 灵活 性 的 域 明显 推荐 了 进程 和 相互 作用 的 静态 确定 性 调度 。 另 一 方面 ， 为 
了 确保 系统 架构 的 灵活 性 ， 系 统 中 的 局 部 变化 必须 是 有 可 能 的 (例如 ,使 用 有 
不 同 互动 模式 的 一 个 组 件 的 变 体 )。 通 过 其 组 件 做 出 的 自由 ( 即 不 确定 性 和 灵 
活 ) 假设 , 极 大 地 促进 了 整个 系统 的 可 变性 (例如 ,信息 交换 的 定时 )。 

然而 ， 经 验 表明 没有 通过 约束 性 设计 建设 确保 的 安全 性 能 往往 不 能 通过 检验 
来 建立 ， 尤 其 是 在 考虑 汽车 域 中 典型 控制 单元 较 多 的 变异 体 的 时 候 。 为 了 文 持 
“可 靠 ”系统 的 “模块 化 ”开发 进程 ， 对 组 件 接口 的 精确 描述 是 必 不 可 少 的 。 因 
IE, 架构 导向 的 方法 (例如 ，AUTOSAR 标准 ) 明确 谈 到 描述 捕 提 交换 信号 (时 
间 的 ) 特性 接口 的 重要 性 。 

将 信号 分 配 到 段 ( 即 静态 /动态 ) 取决 于 信和 号 的 功能 特点 。 与 控制 过 程 有 关 
的 信号 一 般 有 一 个 最 大 的 有 效 性 ， 它 提示 有 一 个 静态 调度 表 : 信号 的 频率 取决 于 
其 变化 的 特性 〈 例 如 ， 发 动机 的 转速 需要 一 个 高 于 车 门 锁 状 态 的 更 新 频率 ) 。 与 
控制 过 程 无 关 的 信号 (例如 ,诊断 信息 的 读 出 、 设 置 参数 的 改变 ) 一 般 是 动态 
段 的 选择 对 象 。 

由 于 FlexRay 的 混合 特性 ， 它 提供 了 一 个 不 同 配置 的 选项 范围 ， 有 只 使 用 动 
态 部 分 的 CAN 似 的 配置 ， 以 及 只 是 用 静态 部 分 的 TTP 似 的 配置 ， 还 有 两 者 之 间 
的 所 有 变化 。 因 此 它 可 以 自然 地 仅 当 做 例如 一 个 基于 CAN 的 通信 替代 品 。 最 重 
要 的 是 ， 由 于 它 的 灵活 性 ， 它 也 可 以 用 于 从 事件 驱动 到 时 间 驱 动 系统 架构 的 平滑 
迁移 过 程 中 。 

除了 FlexRay 以 外 ， 还 存在 其 他 事件 驱动 和 时 间 驱 动 组 合 的 通信 范例 ( 例 
Wn, = CAN 相仿 的 TTP, 或 TTCAN)， 它们 提供 相似 的 特性 ， 但 对 时 间 触 发 或 事 
件 触发 范例 关注 的 重点 不 同 。 


5.5.2 FlexRay 验证 


由 于 FlexRay 是 一 个 由 工业 联盟 开发 的 相对 较 新 的 技术 ， 因 此 发 布 了 的 验证 
工作 数量 非常 有 限 。FlexRay 控制 器 和 OSEK FT - COM 通信 和 层 间 的 交互 在 文献 
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[KS06] 中 进行 了 分 析 。 在 Verisoft EYER) 中， 规划 了 FlexRay 简化 版 本 的 验 
证 。 文献 [TTP06] 提出 了 一 种 对 静态 和 动态 段 的 可 调度 性 分 析 。 文 献 [SK06] 
曾 对 启动 行为 进行 了 模型 检验 ， 并 发 现 过 一 些 问题 。 文 献 [ BPT05 ] 曾 宣 布 了 一 
项 检验 时 钟 同步 协议 的 计划 ， 但 结果 尚未 公布 。Rushbyt*003j 概 述 了 时 间 触 发 架 
构 (TTA) 的 检验 。 尽 管 TTA 是 被 设计 来 与 一 组 相似 要 求 对 立 的 类 似 方 法 ( 参 
见 第 15 章 )， 在 实现 中 的 差异 是 相当 基本 的 ， 因 此 这 样 的 结果 不 能 直接 转移 到 
FlexRay, 但 TTA 的 检验 方法 可 能 被 重新 用 于 FlexRay。 
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汽车 制造 商 ， 如 通用 汽车 、 戴 姆 勒 - 克莱斯勒 公司 ， 通 常 被 称 为 原始 设备 制 
造 商 (OEM) ， 目 前 在 它们 的 战略 是 采取 灵活 的 汽车 架构 以 通过 更 高 层次 创新 的 
产品 来 应 付 激 烈 的 竞争 。 灵 活 的 汽车 架构 允许 例如 底层 控制 、 计 算 和 通信 结构 的 
解 耘 功能 ， 从 而 简化 了 整 车 设计 [SAm061 。 

因为 子 部 件 的 复杂 性 和 汽车 制造 商 面临 的 严格 要 求 ， 如 排放 物 、 标 准 (如 
CAFE) 、 安 全 、 和 舒适 等 方面 的 ， 所 以 成 功 开发 一 种 灵活 的 汽车 架构 是 具有 挑战 
性 的 。 在 电子 、 通 信和 软件 子 系统 上 面临 的 挑战 尤其 严峻 ， 而 一 些 技 术 正 被 用 于 
解决 这 个 挑战 ， 如 基于 模型 的 开发 ( 见 第 10 章 ) 和 开放 标准 的 使 用 ( 见 第 2 
草 ) OEM 们 目前 正面 临 激烈 的 竞争 ， 它 们 必须 在 一 个 相对 较 短 的 开发 周期 内 应 
对 极其 复杂 的 机 电 系 统 的 开发 【如 一 个 混合 动力 汽车 (CHEV) ]。 电 子 控制 单元 
(ECU) 和 网 络 在 现代 汽车 上 的 数量 在 持续 增加 ， 并 且 有 使 用 有 多 个 子 网 络 的 主 
干 网 络 的 趋势 ， 如 图 6. 1 所 示 。 子 网 通常 支持 各 个 主要 的 汽车 子 系统 ， 如 底盘 、 
动力 总 成 〈 发 动机 和 变速 器 ) 、 线 控 、 车 身 和 娱乐 部 分 ， 而 主干 网 被 用 于 支持 整 
辆 汽车 的 通信 。 对 主 网 和 每 个 子 网 的 要 求 各 不 相同 ， 详 情 介绍 如 下 。 

6.1.1 汽车 网 络 的 主要 要 求 

一 般 来 说 ， 从 技术 角度 来 看 ， 对 于 车 载 系统 的 层次 网 络 有 四 个 主要 要 求 ， 如 
图 6. 1 所 示 : 

。 确定 的 性 能 。 

。 高 速 。 

。 灵活 性 。 

。 可 靠 性 。 

灵活 性 也 许 是 所 有 网 络 必 须 满足 的 最 重要 的 要 求 ， 且 它们 能 真正 适用 于 所 有 
的 车 辆 机 电 组 件 。 为 了 实现 灵活 的 汽车 架构 ， 就 需要 有 灵活 性 。 除 了 灵活 性 之 
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图 6.1 现代 汽车 的 网 络 架 构 

















外 ,根据 网 络 类 型 和 支持 的 应 用 程序 的 其 余 的 要 求 ( 即 确定 性 、 高 速 性 和 可 靠 
E) 有 着 不 同等 级 的 重要 性 或 关键 性 。 对 于 主 网 络 ， 高 速 性 是 最 重要 的 ， 而 对 
于 一 个 支持 线 控 子 系统 的 子 网 ， 可 靠 性 是 最 重要 的 。 接 下 来 将 简要 说 明 这 些 
要 求 。 

6.1.1.1 确定 的 性 能 

当 系 统 服务 的 性 能 指标 在 许多 条 件 下 都 是 可 预见 且 有 特定 的 非 随机 方程 的 特 
点 时 ， 系 统 具 有 确定 的 性 能 。 对 于 车 载 网 络 来 说 ， 最 重要 的 性 能 指标 可 能 是 信息 
延迟 ， 它 定义 为 一 个 要 传输 的 信息 ( 即 传输 请 求 ) 从 在 一 个 发 送 节点 开始 排队 ， 
到 这 个 信息 被 接收 节点 成 功 读 取 ( 即 接 收 ) 之 间 的 时 间 间 隔 。 

6.1.1.2 高 速 性 

高 速 性 主要 是 为 了 支持 多 媒体 及 互联 网 相关 的 应 用 程序 ( 如 信息 娱乐 系统 ) 
和 跨 子 网 的 通信 。 高 速 是 相对 的 ， 在 未 来 主 网 要 求 以 高 达 100Mbit/s 的 速度 来 支 
持 包 括 大 量 信息 的 传输 ， 而 子 网 要 求 以 1Mbit/s 的 速度 来 进行 毫秒 范围 内 、 几 个 
字 节 长 的 检测 和 控制 事务 的 信息 传输 。 

6.1.1.3 灵活 性 

对 于 灵活 性 ， 在 大 多 数 网 络 研究 和 开发 努力 中 人 们 还 未 给 予 该 要 求 应 有 的 重 
要 性 。 最 近 由 于 汽车 制造 商 之 间 的 激烈 竞争 ， 实 现 高 灵活 性 汽车 架构 和 低层 技术 
的 复杂 性 的 目标 ， 其 重要 性 越 来 越 明 显 。 正 是 由 于 这 么 多 情况 、 意 义 和 解 释 ， 所 
以 灵活 性 也 很 难 界定 和 表征 。 一 种 情况 是 在 通信 架构 层次 ， 第 二 种 是 在 通信 协议 
层次 ， 而 第 三 种 是 在 通信 系统 实施 层面 。 还 有 一 种 情况 是 在 维护 、 维 修 和 服务 
层 。 因 此 ， 解 决 灵 活性 问题 时 我 们 需要 采取 一 种 全 面 的 方法 。 
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6.1.1.4 灵活 性 属性 











灵活 性 具有 如 下 重要 属性 : 
。 设计 的 灵活 性 一 一 指 的 是 通信 架构 的 灵活 性 ， 能 使 设计 选择 以 一 个 简单 
的 方式 进行 。 


。 配置 的 灵活 性 一 一 在 协议 层 ， 它 是 指 将 许多 选择 和 选项 置 于 一 个 简单 的 
方式 。 在 系统 层 ， 它 意味 着 使 用 网 络 来 配置 整体 的 软件 ， 包 括 通信 选项 。 

。 网 络 负载 (流量 ) 的 灵活 性 一 一 有 时 提供 的 网 络 流量 会 改变 ， 因 此 通信 
架构 在 容纳 多 种 流量 模式 时 必须 是 灵活 的 。 

。 重 置 的 灵活 性 (涉及 改变 ) 一 一 在 车 辆 运行 一 段 时 间 后 ， 重 做 车 辆 的 
配置 。 

。 诊断 的 灵活 性 一 一 当 车 辆 出 现 问题 时 ， 通 信和 能 力 支持 诊断 ， 以 弄 清 楚 汽 
车 子 部 件 到 底 出 了 什么 问题 。 

© 参数 的 灵活 性 一 一 监控 一 系列 、 广 泛 系 统 参 数 的 能 

。 测试 的 灵活 性 一 一 以 简单 且 自 动 化 的 方式 执行 各 种 测试 的 能 

。 集 成 的 灵活 性 一 一 通信 架构 轻松 地 支持 在 系统 集成 阶段 的 各 种 配置 的 
引力 。 

。 分 层 网 络 的 灵活 性 一 一 如 图 6. 1 所 示 ， 通 信和 架构 以 分 层 方式 运作 的 能 

。 功能 的 灵活 性 一 一 架构 提供 支持 各 种 车 辆 功能 的 能 

o 准时 的 灵活 性 一 一 通信 架构 支持 任何 变化 、 配 置 或 短 时 间 内 重新 配置 以 
满足 紧迫 的 截止 时 间 的 能 

6.1.1.5 可 靠 性 

可 靠 性 包括 可 靠 度 、 可 用 性 、 可 维护 性 、 安 全 性 、 完 整 性 和 保密 性 [LAPRo1 。 
至 今 为 止 ， 只 有 可 靠 性 的 前 四 个 属性 已 经 与 车 载 系统 相关 联 。 但 是 ， 因 为 车 辆 与 
外 部 世界 的 联系 越 来 越 多 ， 如 车 - 车 或 车 -路 通信 、 互 联网 连接 、 汽 车 架构 上 的 
集成 、 无 线 车 辆 访问 控制 和 远程 /无 线 车 载 诊断 等 ， 所 以 完整 性 和 保密 性 正 变 得 
越 来 越 重要 。 汽 车 架构 的 开放 性 将 需要 运用 安全 技巧 和 技术 一 一 从 防火 墙 到 加 
密 和 身份 确认 ， 尽 管 这 些 还 未 被 考虑 在 汽车 领域 内 ， 但 它们 对 于 防止 对 车 辆 功 
能 的 未 经 授权 的 控制 或 未 经 授权 获得 私人 数据 的 情况 〈 如 汽车 子 系统 的 运行 
参数 ， 或 甚至 路 线 和 使 用 记录 ) 是 必要 的 。 然 而 ,这些 安 全 问题 超出 了 本 章 
的 范围 。 
相对 于 其 他 属性 ， 尽 管 可 靠 性 和 可 用 性 的 重要 性 显而易见 ， 但 安全 属性 仍 是 
至 关 重 要 的 。 从 可 靠 性 的 角度 来 看 ， 应 用 程序 可 以 是 安全 关键 或 非 安 全 关键 的 。 
前 者 是 指 应 用 程序 中 一 个 组 件 或 整个 系统 的 一 个 故障 可 能 会 导致 设备 的 损失 、 人 
身 伤害 或 生命 损失 。 在 目前 的 车 辆 中 ， 越 来 越 多 的 机 械 连 接 被 分 布 式 电子 架构 
(通常 人 们 所 说 的 线 控 系 统 ) 所 蔡 代 ， 这 使 这 些 架 构成 为 安全 关键 。 为 了 防止 干 
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扰 转 向 、 制 动 、 加 速 或 造成 发 动机 失效 时 可 能 出 现 的 故障 ， 必 须 制 定 正确 的 故障 
假设 ， 并且 必 须 在 设计 时 就 考虑 足够 的 容错 机 制 并 将 其 集成 在 汽车 架构 中 。 这 种 
机 制 可 以 利用 先 验 知识 来 区 别 正确 与 不 正确 的 系统 状态 。 因 为 静态 设计 可 以 最 大 
化 地 利用 先 验 知识 ， 所 以 这 也 成 为 采用 静态 设计 的 强烈 动机 。 男 一 方面 ， 灵 活性 
趋向 于 减少 这 种 知识 ， 从 而 导致 了 灵活 性 和 安全 性 之 间 的 矛盾 。 目 前 对 车 辆 的 要 
求 需要 新 的 方法 来 协调 这 方面 的 问题 ， 并 在 不 危及 安全 性 的 情况 下 提高 灵活 性 。 
最 后 ， 灵 活性 也 能 文 持 可 靠 性 。 例 如 ， 基 于 从 受 损 节点 到 运行 节点 的 功能 
置 危险 的 重组 是 灵活 性 的 结果 ， 并 且 重 组 通过 故障 弱化 和 生存 性 方式 提高 了 系统 
AY OY SEE 


6.1.2 网 络 技术 


小 区 域 的 现场 总 线 网 络 被 建立 在 许多 应 用 
域 中 ， 这 些 应 用 域 包括 了 过 程控 制 、 医 疗 、 汽 
Ae fil a TONS) 。 已 建立 许多 现场 总 线 通信 协 
W, 但 最 常见 的 现场 总 线 包括 Profibus! TV) OSI 
控制 器 局 域 网 (CAN) ETSO] 和 执行 器 传感器 接 
口 ASi 网 络 [WR09] 。 也 有 针对 高 度 可 靠 性 的 航 
空 电子 设备 和 汽车 应 用 的 特定 的 现场 总 线 协议 ， 
如 TTP/CITIPC] 、 FlexRay[FIEX05] 和 SAFE- 
Bus! HOYM92] 。 不 同 于 其 他 著名 的 网 络 结构 ， 如 
互联 网 ， 这 些 所 谓 的 现场 总 线 网 络 的 共同 点 是 
它们 有 一 个 仅 由 两 层 、 三 层 组 成 的 协议 栈 ,， 如 ”图 6.2 一 个 现场 总 线装 置 的 
图 6. 2 所 示 。CAN 协议 是 一 种 两 层 的 现场 总 线 通信 和 架构 
协议 ， 它 最 初 由 博世 公司 在 20 世纪 80 ERE 
期 开发 ， 并 试图 用 于 控制 应 用 程序 [SAN9! 。 目 前 ，CAN 广泛 应 用 于 许多 应 用 领 
域 ， 如 汽车 、 家 庭 自动 化 、 铁 路 、 航 空 航天 、 海 洋 、 舱 入 式 机 器 控制 、 机 器 人 、 
工厂 自动 化 、 过 程 自动 化 、 医 疗 设备 、 建 筑 自动 化 和 实验 室 设备 等 15M%]。 

然而 ， 最 佳 的 汽车 网 络 解决 方案 是 已 经 存在 的 还 是 正在 进展 中 ?” 最 佳 ， 是 指 
以 一 种 简单 、 有 效 且 低 成 本 的 方式 满足 上 述 要 求 的 网 络 技术 。 虽 然 在 主干 网 层 上 
确定 最 佳 的 汽车 网 络 解决 方案 还 言 之 过 早 ， 但 在 子 网 层 上 CAN 是 目前 最 好 的 网 
络 技术 。 和 其 他 替代 技术 如 FlexRay ( 见 第 5 Ff) 和 TTPZC ( 见 第 15 章 ) FALE, 
CAN 没有 考虑 高 速 协议 。 不 过 ，CAN 可 以 为 车 载 监控 、 诊 断 、 配 置 和 控制 应 用 
程序 提供 足够 的 速度 ( 见 上 面 的 要 求 )。 

本 章 总 结 了 基于 CAN 架构 、 适 合 车 载 子 网 的 若干 建议 。 所 有 的 建议 旨 在 改 
善 网 络 的 可 靠 性 ， 同 时 提供 不 同 程度 的 灵活 性 和 确定 性 ， 并 在 一 定 程 度 上 利用 原 
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有 的 CAN 协议 。 一 个 真正 灵活 的 通信 架构 可 以 通过 简化 产品 开发 ， 并 将 其 转化 
为 底盘 、 动 力 总 成 、 线 控 、 车 身 和 娱乐 部 件 的 集成 任务 来 支持 灵活 的 汽车 架构 。 


6.1.3 CAN 的 特点 和 局 限 性 


CAN 协议 已 经 应 用 了 大 概 20 年 ， 由 于 其 误差 控制 功能 、 低 延 运 、 全 网 总 线 
访问 优先 权 和 即时 的 位 监控 (R95S]， 它 也 成 为 许多 小 的 局 域 网 络 应 用 程序 的 重 
要 部 分 。 除 了 上 述 重要 特征 外 ，CAN 还 可 以 提供 其 他 出 色 的 控制 功能 来 恢复 帧 
错误 (包括 填充 位 错误 和 CRC 错误 )， 在 此 对 于 这 些 错误 不 再 袭 述 ,读者 可 以 
参考 规范 [SAN91] 。 

在 汽车 、 机 器 人 、 过 程控 制 、 生 产 制造 等 中 ， 许 多 重要 的 应 用 程序 都 使 用 这 
些 功 能 ， 这 一 点 可 以 从 世界 范围 内 大 量 基于 CAN 的 应 用 程序 中 看 到 。 然 而 这 并 
不 是 说 CAN 已 不 再 需要 改进 。 如 果 CAN 可 以 速度 更 快 、 履 盖 更 远 的 距离 、 更 具 
有 确定 性 并 且 更 加 可 靠 ， 那 么 应 用 程序 设计 人 员 将 会 更 加 高 兴 [eom0l 。 事 实 上 ， 
由 于 CAN 有 限 的 可 靠 性 功能 ， 对 于 CAN 协议 经 过 适当 改进 后 是 否 可 以 支持 安全 
关键 型 的 应 用 程序 ， 现 在 还 存在 争议 [Po OF] 。 

本 章 的 目的 有 两 个 : 首先 描述 CAN 的 局 限 性 ， 即 大 且 可 变 的 抖动 、 时 钟 同 
步 的 缺乏 、 有 限 速度 -距离 的 产品 、 灵 活 的 局 限 性 、 数 据 一 致 性 的 问题 、 有 限 的 
错误 控制 以 及 有 限 的 容错 支持 ; 其 次 讨论 最 近 的 开发 和 研究 一 一 为 了 克服 这 些 局 
限 性 而 正在 进行 的 开发 和 研究 [BARRO6a .RUFI98 FERR05a \FERRO6 ,PIME04b .FUHROO0 .BROS03a 和 RODRO6] s 

6.1.3.1 KETEK 

CAN 网 络 最 有 趣 的 特征 之 一 就 是 带宽 有 效 的 仲裁 机 制 ， 该 机 制 以 网 络 范围 
的 固定 优先 级 为 基础 ， 根 据 一 个 载波 侦 听 多 路 访问 (CSMA) 协议 允许 每 个 节点 
在 任意 时 刻 传送 信息 。 然 而 ， 该 特征 也 有 一 个 负面 影响 ， 即 会 造成 一 个 庞大 网 络 
延迟 拌 动 。 这 是 由 于 没有 传输 时 间 的 同步 性 ， 当 试图 传送 信息 时 任何 节点 都 会 遇 
到 来 自 更 高 优先 级 流量 的 所 有 可 能 的 干扰 模式 。 通 过 使 用 全 局 同步 和 相对 偏 移 量 
的 调整 ， 可 以 控制 该 拌 动 ， 有 时 其 至 可 以 消除 该 拌 动 。 

6.1.3.2 时钟 同步 服务 的 缺乏 

正如 上 面 所 指出 的 ， 一 个 全 局 同步 的 可 用 性 有 助 于 控制 拌 动 。 这 种 同步 功能 
和 分 布 式 艇 人 系统 的 其 他 重要 功能 可 以 依靠 一 个 时 钟 同 步 服 务 。 不 幸 的 是 ，CAN 
标准 并 不 包括 这 样 的 服务 。 因 此 ， 每 当 一 个 基于 CAN 的 分 布 式 系统 需要 一 个 同 
步 时 钟 时 ， 它 必须 在 应 用 程序 级 别提 供 。 尽 管 也 已 提出 了 硬件 实现 的 方法 ， 但 这 
通常 是 通过 一 个 软件 实施 的 时 钟 同步 算法 来 实现 的 。 

6.1.3.3 AREE -距离 乘积 

该 类 局 限 性 在 共享 串 行 数据 网 络 中 很 典型 ， 但 它 在 CAN 中 尤其 严重 ， 这 是 
由 于 CAN 在 传送 时 依赖 于 时 间 位 监控 ， 这 种 功能 有 时 被 称 为 位 响应 。 在 CAN 
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中 ， 电 信号 必须 在 很 小 一 部 分 时 间 内 在 整个 网 络 中 传播 。 因 此 ， 网 络 越 长 ， 位 时 
间 也 必须 越 长 。 典 型 值 是 : 约 40m 的 网 络 对 应 传输 速率 为 1Mbit/s， 而 1km 的 网 
络 对 应 传输 速率 为 50kbit/s。 可 以 在 克服 这 一 局 限 性 的 同时 保持 标准 的 兼容 性 ， 
例如 ， 通 过 不 同 的 拓扑 结构 ( 如 星 形 [3ARRM] ) ， 可 能 的 话 也 可 以 通过 分 割 来 实 
BR (如 使 用 开关 )。 

6.1.3.4 灵活 的 局 限 性 

在 上 面 提 到 的 几乎 所 有 维度 的 灵活 性 中 ，CAN 通常 被 认为 是 一 个 高 度 灵活 
的 协议 。 然 而 ， 它 的 仲裁 机 制 是 以 信息 标识 符 为 基础 的 ， 而 这 些 信息 标识 符 建立 
了 信息 优先 级 并 且 在 整个 系统 中 它们 必须 是 唯一 的 。 因 此 ， 分 配给 信息 的 标识 符 
(ID) 强烈 影响 着 通信 的 时 效 性 ， 并 且 促 使 了 一 个 全 系统 的 固定 优先 级 信息 调度 
方法 。 如 果 需 要 有 比 固定 优先 级 调度 更 高 的 公平 性 ， 或 为 了 在 不 对 传输 时 效 性 造 
成 严重 后 果 的 情况 下 更 容易 地 分 配 ID ， 那 么 其 他 机 制 必须 被 添加 到 CAN 中 ， 例 
WM, ID 的 动态 更 新 或 通过 传输 控制 调度 外 部 信息 。 此 外 ， 隐 含 信 息 动 态 变化 的 
各 种 灵活 性 设置 了 与 时 效 性 的 冲突 。 将 这 种 灵活 性 和 时 效 性 相 结 合 需要 增加 一 个 
接收 控制 单元 。 该 单元 可 以 验证 所 有 提交 的 变化 ， 并 且 拒 绝 所 有 会 违背 时 效 性 的 
变化 。 

6.1.3.5 数据 一 致 性 的 问题 

不 一 致 的 通信 场景 是 实现 CAN 高 可 靠 性 的 最 大 障碍 之 一 。 这 些 场景 的 发 生 
是 由 于 特定 的 协议 规定 ， 并 且 它 们 可 以 表现 为 不 一 致 的 信息 遗漏 (IMO)， 即 一 
些 节 点 接收 一 个 给 定 信 息 而 其 他 节点 没有 ; 也 可 以 表现 为 不 一 致 的 信息 复制 
(IMD)， 即 一 些 节点 多 次 接收 相同 信息 而 其 他 节点 仪 接收 一 次 。 不 一 致 的 通信 场 
景 使 得 不 同形 式 中 的 分 布 式 一 致 更 难以 实现 ， 这 些 形式 如 组 员 关 系 、 时 钟 同步 、 
配置 一 致 承诺 的 更 改 或 异步 事件 的 简单 一 致 感知 。 

6.1.3.6 有 限 的 错误 控制 

尽管 CAN 有 一 个 基于 错误 计数 器 的 内 置 错误 控制 机 制 一 一 该 机 制 能 带 来 网 
络 控制 总 线 处 于 关闭 状态 ， 但 是 CAN 仍然 在 这 种 情况 上 存在 一 些 局 限 性 。 局 限 
之 一 是 内 置 机 制 反 应 缓慢 ， 它 取决 于 错误 发 生 的 频率 和 类 型 。 其 他 的 局 限 性 来 自 
总 线 拓扑 结构 (正如 标准 中 指定 的 ) ， 因 为 错误 发 生 在 节点 接口 、 总 线 线路 或 连 
接 处 ， 它 们 通过 网 络 自由 传播 ， 会 对 正确 的 传输 造成 干扰 一 一 这 也 可 以 通过 共 模 
故障 的 方式 发 生 在 复制 总 线 上 。 解 决 该 局 限 性 的 一 个 可 行 方案 是 在 物理 层 上 分 制 
网 络 ， 例 如 使 用 星 形 拓 扑 和 点 对 点 连接 。 最 后 ， 男 一 个 局 限 性 是 关于 错误 信息 的 
传输 ， 这 些 信息 的 值 与 时 间 点 存在 错误 ， 却 有 一 个 正确 的 框架 。CAN 不 存在 对 
于 包含 这 种 错误 的 传输 的 保护 。 在 时 间 域 中 这 种 类 型 的 典型 故障 是 混乱 故障 ， 其 
中 的 一 个 节点 比 预期 的 更 频繁 地 发 送信 息 ， 它 强烈 干扰 了 其 余 节 点 的 传输 。 对 该 
类 故障 的 预防 可 能 包括 特定 的 硬件 支持 ， 如 一 个 总 线 监控 器 ， 即 将 一 个 设备 连接 
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到 一 个 节点 来 验证 所 需 的 发 送 、 对 不 及 时 信息 的 阻止 以 及 高 层 协议 对 节点 发 送 时 
刻 的 限制 。 

6.1.3.7 有 限 的 容错 支持 

对 安全 性 要 求 苛刻 的 应 用 程序 需要 很 高 水 平 的 可 靠 度 (通常 是 可 靠 性 )。 为 
了 达到 这 一 水 平 ， 必 须 使 用 容错 技术 。 对 容错 功能 的 广泛 支持 在 大 多 数 现场 总 线 
网 络 中 并 不 是 一 个 共同 的 特点 。CAN 早已 提供 了 先进 的 机 制 ， 防 止 一 些 错误 导 
致 一 般 的 系统 故障 ， 甚 至 一 些 具体 CAN 收发 器 实施 了 几 种 机 制 ， 能 够 容忍 通信 
链接 中 特定 永久 性 故障 。 然 而 这 些 机 制 对 安全 性 要 求 苛 刻 的 应 用 程序 是 不 够 的 。 
需要 额外 的 机 制 来 容忍 节点 故障 和 总 线 永 久 故障 〈 即 支持 节点 和 总 线 复 制 ) 。 

本 章 的 其 余部 分 编排 如 下 : 在 6.2 节 中 ， 鉴 于 数据 一 致 性 的 重要 性 和 对 可 靠 
性 的 影响 ， 我 们 详细 回顾 了 数据 一 致 性 方面 的 特定 话题 。 然 后 ， 在 6. 3 节 中 ， 我 
们 介绍 了 研发 的 一 套 技 术 和 协议 来 提供 在 没有 减低 灵活 性 的 前 提 下 提高 可 靠 性 ， 
这 些 协议 包括 (Re) CANcentrate, CAN - 增强 层 (CANELy) 、 灵 活 的 时 间 触 发 
CAN (FTT -CAN) 和 FlexCAN。 这 些 技 术 / 协 议 覆 盖 了 各 种 层面 的 典型 现场 总 线 
网 络 ，(Re) CANcentrate 主要 在 物理 和 数据 链接 层面 操作 ，CANELy 专注 于 数据 
链接 问题 ， 且 部 分 关注 于 更 高 的 层面 ; FTT - CAN 与 FlexCAN 作为 两 个 较 高 层面 
的 网 络 协议 ， 它 们 可 以 在 商业 上 现成 的 (COTS) CAN 控制 器 上 操作 。 最 后 ， 本 
章 归 纳 了 对 其 他 一 些 协议 的 参考 ， 这 些 协议 与 可 靠 性 和 灵活 性 的 话题 有 关 ， 然 后 


给 出 结论 。 














6.2 ”数据 一 致 性 问题 


CAN 规范 !8s093 1 声明 在 出 现 瞬时 信道 故障 〈 即 瞬时 故障 发 生 在 传输 介质 中 或 
发 生 在 接收 融 处 ) 时 ， 该 协议 展现 出 数据 一 致 性 。 这 意味 着 在 一 个 CAN 网 络 中 
理论 上 保证 所 有 节点 同时 接收 到 1 帧 信号 或 都 没有 接收 到 1 帧 信和 号。 这样 的 属性 
大 致 对 应 于 原子 广播 的 定义 ， 且 导致 许多 作者 认为 CAN 提供 了 这 种 服务 ， 且 在 
许多 容错 和 实时 分 布 式 系统 中 具有 根本 的 重要 性 。 

然而 ， 众所周知 CAN 并 不 总 是 能 完成 假定 的 数据 一 致 
性 [RUFI98、PROE00、RODR03a] 要 本 节 在 介绍 CAN 包含 据 称 保证 数据 一 致 性 机 制 之 后 
将 呈现 目前 这 些 机 制 不 能 提供 这 个 属性 的 一 些 情 形 ， 并 讨论 这 些 情形 的 可 能 性 。 
结果 表明 ， 尽 管 一 些 情 况 下 不 一 致 的 数据 很 可 能 发 生 ， 但 是 其 他 一 些 不 一 致 的 数 
据 只 会 发 生 在 罕见 的 故障 场景 中 。 本 节 还 讨论 了 一 些 早已 提出 的 方式 来 克服 数据 
不 一 致 的 问题 。 幸 运 的 是 ， 数 据 不 一 致 的 最 常见 的 原因 ， 可 以 通过 采用 合适 的 系 
统 设 计 很 容易 地 避免 ， 它 可 以 实现 大 多 数 当前 CAN 应 用 程序 的 可 靠 性 相对 较 低 
的 要 求 。 然 而 ， 一 些 作 者 声称 如 果 CAN 在 更 关键 的 应 用 程序 (或 场合 ) 中 采 
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用 ,那么 需要 一 些 额 外 的 机 制 来 保证 数据 一 致 性 ， 甚 至 在 那些 罕见 的 故障 场景 
中 。 本 节 最 后 部 分 介绍 了 这 些 机 制 中 的 一 部 分 内 容 。 


6.2.1 CAN 网 络 中 瞬时 信道 故障 的 管理 


在 出 现 的 瞬 态 信道 故障 中 ，CAN 常常 被 看 做 提供 了 下 面 列 出 的 五 个 属性 ， 
它们 对 应 于 原子 广播 的 定义 [Run8] : 

。 AB1 一 一 有 效 性 : 如 果 一 个 正确 的 节点 广播 了 一 条 消息 ， 那 么 这 条 信息 
最 终 会 交付 给 正确 的 节点 。 

e 了 B2 一 一 协议 : 如 果 一 条 消息 被 交付 给 正确 的 节点 ， 那 么 这 条 消息 最 终 会 
交付 给 所 有 正确 的 节点 。 

。 B3 一 一 至 多 进行 一 次 交付 : 任何 交付 给 正确 节点 的 信息 ， 最 多 交付 一 次 。 

。B4 一 一 非 平凡 性 : 任何 交付 给 正确 节点 的 消息 ， 通 过 一 个 节点 来 广播 。 

© BS 一 一 总 顺序 : 交付 给 任何 两 个 正确 的 节点 的 任何 两 条 消息 ， 以 相同 的 
顺序 交付 给 两 个 节点 。 

为 了 实现 数据 一 致 性 ，CAN 协议 针对 错误 检测 和 误差 信号 传递 定义 了 一 些 
特定 的 机 制 S03]。 这 些 机 制 强烈 依赖 于 CAN 的 基本 特征 : 在 整个 网 络 中 位 的 准 
同时 视角 。 

在 CAN 网 络 中 ， 位 时 间 长 度 足 够 长 ， 因 而 所 有 节点 准 同步 采样 到 相同 位 的 
值 。 在 每 一 个 瞬时 ， 通 过 CAN 总 线 传递 的 位 可 以 采取 两 个 值 之 一 : 显 性 或 隐 性 。 
在 大 多 数 的 CAN 实施 中 ， 显 性 值 由 逻辑 “0” 表 示 ， 隐 性 值 由 逻辑 “1” 表 示 。 
只 有 所 有 节点 同时 传递 一 个 隐 性 值 ， 才 会 导致 总 线 值 是 隐 性 值 。 与 此 相反 ， 如 果 
任何 一 个 节点 传送 了 显 性 值 ， 那 么 总 线 值 将 会 是 显 性 值 。 

如 上 所 示 ， 由 于 其 特殊 的 错误 检测 和 误差 信号 传递 机 制 ， 所 以 声称 的 CAN 
协议 中 的 数据 一 致 性 是 可 以 实现 的 。CAN 展示 了 五 种 错误 检测 机 制 ， 检 测 五 个 
不 同类 型 的 错误 ， 即 位 错误 、 填 充 错误 、CRC 错误 、 应 答 错 误 和 形式 错误 。 此 
外 ， 每 个 CAN 节点 保留 两 个 错误 计数 器 ， 分 别传 输 错误 计数 器 (TEC) 和 接收 
错误 计数 器 (REC)， 分 别 估计 节点 最 近 检 测 到 的 传输 /接收 的 错误 数量 。 

根据 TEC 和 REC 的 值 ，CAN 节点 的 内 部 状态 可 能 会 发 生变 化 。 任 何 CAN 
节点 的 初始 状态 称 为 主动 错误 状态 。 如 果 其 中 一 个 错误 计数 器 达到 给 定 的 阔 值 ， 
则 节点 进入 被 动 错误 状态 ， 这 意味 着 许多 本 地 信道 错误 已 被 发 现 ， 但 节点 仍然 可 
以 在 降级 模式 下 参与 通信 。 然 而 ， 如 果 错 误 计 数 器 不 断 增加 且 TEC 终于 超过 第 
二 个 〈 或 更 高 的 ) BWE, IBA CAN 节点 就 进入 总 线 断 开 状态 ， 此 时 不 允许 节点 
以 任何 方式 参加 通信 。 
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当 被 动 错误 状态 中 的 一 个 节点 通过 之 前 提 到 的 机 制 检 测 到 一 个 错误 时 ， 通 过 
发 送 主动 错误 标志 将 这 种 情况 传递 到 其 他 节点 。 一 个 主动 错误 标志 由 6 个 连续 的 
显 性 位 组 成 ， 且 在 检测 到 错误 至 少 Ibit 后 开始 。 这 个 标志 将 最 终 违反 CAN 协议 
规则 ， 例 如 它 可 能 破坏 需要 固定 的 一 些 字 段 ， 从 而 导致 形式 错误 。 因 此 ， 所 有 其 
他 证 点 也 检测 到 一 个 错误 状况 ， 并 开始 传播 主动 错误 标志 。 在 发 送 主动 错误 标志 
后 ， 每 个 节点 发 送 隐 性 位 ， 并 监测 总 线 直到 检测 到 一 个 隐 性 位 。 之 后 ， 它 开始 发 
送 另外 7 个 隐 性 位 。 产 生 在 总 线 上 的 8 个 隐 性 位 链 被 称 为 错误 分 隅 符 。 这 个 错误 
分 隔 符 连同 来 自 不 同 节 点 的 错误 标志 的 全 加 ,构成 了 一 个 错误 帧 。 错 误 帧 传输 
后 ， 发 送出 去 的 帧 自动 被 所 有 接收 器 拒绝 ， 并 由 最 初 的 发 送 顺 再 次 发 送 。 这 个 简 
单机 制 允许 当地 错误 的 全 局 化 ， 并 容忍 瞬时 故障 导致 的 错误 。 通 过 这 种 方式 ， 应 
该 能 够 实现 数据 的 一 致 性 。 然 而 ， 并 非 总 是 本 地 错误 可 以 全 局 化 。 


6.2.2 影响 数据 一 致 性 的 障碍 


尽管 有 特殊 的 机 制 一 一 CAN 包含 错误 检测 和 信号 ， 但 是 还 是 报告 了 有 两 个 
障碍 影响 数据 一 致 性 。 第 一 个 障碍 是 出 现 被 动 错误 状态 。 根 据 标准 ， 每 当 TEC 
BY REC 超过 给 定 的 交 值 时 ，CAN 节点 就 会 进入 这 种 状态 。 一 个 处 于 被 动 错误 状 
态 的 CAN 节点 ,不 会 使 用 主动 错误 标志 来 传递 信道 错误 信号 。 相 反 ， 它 会 使 用 
一 个 错误 标志 一 一 由 隐 性 位 组 成 〈 所 谓 的 被 动 错误 标志 ) ， 事实 上 不 能 总 是 强迫 
其 他 节点 看 到 这 个 错误 。 因 此 ， 如 果 该 节点 是 观测 错误 的 唯一 接收 颖 ， 那 么 数据 
不 一 致 性 将 会 出 现在 网 络 上 ， 因 为 它 是 唯一 拒绝 该 帧 的 接收 顺 。 

数据 一 致 性 的 第 二 个 障碍 出 现在 主动 错误 状态 ， 且 和 错误 帧 结束 (EOF) 的 
最 后 一 点 字段 的 特殊 行为 相关 。 每 当 帧 的 发 送 咒 检测 到 位 的 一 个 错误 ， 那 么 它 就 
按照 已 经 说 明 的 方法 来 处 理 : 它 在 下 一 个 位 中 开始 传递 主动 错误 标志 ， 它 认为 帧 
传输 错误 ， 且 随后 重新 传输 帧 。 相 反 ， 如 果 1 帧 的 接收 器 在 EOF 的 最 后 1bit 中 
检测 到 一 个 错误 ， 那 么 它 就 把 帧 当做 正确 的 [R0F281 。 

这 种 特殊 的 行为 意味 着 当 EOF 的 倒数 第 二 位 的 一 个 错误 只 被 部 分 节点 检测 
到 时 ， 属 于 这 一 部 分 的 节点 拒绝 该 帧 ， 并 在 下 一 位 〈 实 际 上 它 是 EOF 的 最 后 一 
位 ) 中 生成 一 个 错误 标志 。 因 此 ， 这 个 错误 标志 不 会 让 其 他 节点 拒绝 该 帧 。 因 
为 存在 接收 器 拒绝 该 帧 (那些 发 现 EOF 的 倒数 第 二 位 中 的 错误 ) 和 接收 器 接受 
该 帧 〈 那 些 检测 到 先前 节点 生成 的 错误 标志 ) 的 情况 ， 所 以 这 将 违反 数据 一 致 
PERE Jag RUPPSI 。 

这 种 不 一 致 情况 将 导致 两 种 潜在 失败 中 的 一 种 。 如 果 发 送 器 检测 信道 错误 ， 
可 以 重新 发 送 损坏 的 帧 ， 那 么 那些 接收 到 第 1 帧 的 接收 器 将 收 到 两 次 相同 的 消 
息 ， 这 种 失败 称 为 IMD。 相 反 ， 如 果 发 送 需 没有 检测 到 错误 或 无 法 重新 发 送 损 坏 
帧 ， 那 么 有 一 些 节 点 将 永远 不 会 接收 到 该 消息 ， 这 种 失败 被 称 为 IMO, 
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可 能 导致 IMD 和 IMO 的 错误 场景 在 参考 文献 [RUFI98 、PROFE00、 
RODR03a] 中 进行 了 深度 讨论 。 根 据 这 些 文献 可 以 归纳 出 在 主动 错误 状态 ，IMO 
的 失效 总 是 由 于 以 下 几 种 原因 之 一 引起 : 

。 第 二 个 信道 的 错误 使 得 发 送 需 不 可 能 检测 到 错误 帧 一 它 由 检测 到 第 一 
个 信道 错误 的 接收 器 发 布 。 

。 发 送 器 的 故障 (事故) 使 得 信号 传输 变 得 不 可 能 。 

© 有 意 减 少 用 于 重新 传输 的 时 间 是 由 于 一 些 系统 要 求 。 这 在 CAN 的 实时 变 
化 环境 中 是 常见 的 ， 因 为 在 时 间 域 中 采用 了 技术 来 加 强 错误 控制 ， 比 如 TCAN、 
TTCAN 或 FTT - CAN, 


6.2.3 ”数据 不 一 致 的 场景 概率 


一 旦 接受 了 在 CAN 中 数据 不 一 致 的 情况 是 存在 的 这 个 事实 ， 那 么 评估 这 些 
情形 的 可 能 性 是 重要 的 ， 这 是 因为 采用 昂贵 的 容错 技术 应 该 由 故障 的 可 能 性 来 检 
验 。 对 于 在 主动 错误 状态 下 导致 IMO 失效 的 故障 场景 来 说 ， 这 点 特别 重要 ， 因 
为 解决 容忍 它们 的 方案 在 计算 和 通信 方面 要 花费 高 昂 的 成 本 。 

关于 被 动 错误 状态 数据 不 一 致 的 问题 ， 重 要 的 是 要 注意 到 CAN 节点 在 被 动 
错误 状态 的 数据 不 一 致 不 是 一 个 奇怪 的 情况 (但 它 不 是 那么 频繁 发 生 )。 例 如 ， 
一 个 节点 可 能 进入 这 种 状态 ， 因 为 它 有 一 个 误差 收 发 器 ， 它 会 发 布 错 误 的 值 给 传 
输 介 质 ， 或 者 由 于 强烈 的 电磁 干扰 引起 了 一 个 错误 。 因 此 ， 这 种 不 一 致 的 根源 对 
CAN 可 靠 的 应 用 程序 来 说 是 一 个 潜在 的 威胁 。 事 实 上 ， 一 些 作 者 已 经 计算 出 的 
节点 在 被 动 错误 状态 下 所 花费 的 时 间 ， 对 于 高 比特 错误 率 (如 10-3) 来 说 ， 可 
能 是 非常 重要 的 LS*WW51。 根据 同一 作者 的 分 析 ， 对 于 高 比特 错误 率 (如 在 40s 
内 比特 错误 率 10 -3 ) ， 甚 至 可 以 很 容易 达到 总 线 断 开 状 态 !SA051 。 

关于 被 动 错误 状态 下 数据 不 一 致 的 情况 ， 几 乎 不 讨论 在 CAN 中 发 生 IMD 
失效 的 可 能 性 。 例 如 , 在 [ETSC01] ABE, 建议 设计 师 在 设计 一 个 CAN 
系统 时 要 记 住 这 种 可 能 性 。 相 比 之 下 ， 遭 受 IMO 失效 的 概率 仍然 是 个 有 争 
议 的 问题 。 有 4 篇 论文 研究 了 在 CAN 中 导致 MO 失效 的 错误 场景 
概率 | RUFI98 PROE00 ,.RODRO3b FERR05 | 5 

FH Rufino 等 发 表 的 论文 [up881 是 第 一 个 报告 IMO 失效 场景 的 。 他 们 还 提出 
了 一 个 分 析 模 型 ， 允 许 计算 每 小 时 不 一 致 复制 和 不 一 致 遗漏 的 数量 。 他 们 的 分 析 
是 不 完整 的 ， 因 为 只 评估 了 发 生 器 月 演 引 起 的 IMO 失效 的 发 生 概 率 。 他 们 的 结 
果 是 在 以 下 条 件 下 获得 的 : 1 Mbit/s 的 网 速 ，32 个 节点 ， 总 负载 90% , 1 WKE 
为 110bit; 假设 在 网 络 中 每 个 节点 传输 1 帧 所 需 的 时 间 At =5ms， 并 假定 节点 可 
能 失效 的 失效 率 入 =10 疏 /h。 结 果 是 在 不 同 的 比特 错误 率 假设 下 获得 的 。 例 如 ， 
假设 的 比特 错误 率 10 ,他 们 获得 的 值 在 10 -°IMO/h 范围 内 。 这 些 值 大 于 参考 
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采用 [ KOPE95 .HAMM03 | . 

Proenza 和 Miro - Julia 的 论文 LEROPoo] 报告 了 数据 不 一 致 的 新 情形 。 特 别 的 
是 ， 他 们 报告 了 影响 发 生 器 的 第 二 信道 错误 引起 的 IMO 故障 的 可 能 性 。 他 们 还 
提供 了 一 个 分 析 模 型 ， 用 来 计算 这 些 新 不 一 致 性 场景 的 概率 。 在 用 于 参考 文献 
[RUFI98] 评估 的 相同 条 件 下 ， 他 们 获得 的 值 在 10 悦 IMO/h 范围 内 。 因 此 ， 他 
们 的 研究 成 果 表 明 新 情形 的 发 生 概率 不 仅 大 于 参考 值 (10 习 次/h) ， 而 且 也 比 以 
前 报道 的 情形 发 生 的 概率 大 。 

Rodriguez - Navas 和 Proenza 的 论文 (R09R03a] 报告 了 造成 IMO 的 第 三 个 原因 ， 
并 在 TTCAN 的 背景 中 对 此 进行 了 分 析 。 特 别 的 是 ， 他 们 表明 了 对 重新 传输 可 用 
时 间 的 限制 (在 TTCAN 中 ， 帧 重 发 总 是 禁用 的 ) 可 能 显著 增加 IMO 失效 概率 。 
采用 前 面 两 篇 论文 的 相同 网 络 条 件 ， 在 TTCAN 中 他 们 获得 的 值 在 10 -3IMOA 范 
围 内 ， 这 个 值 太 高 了 ， 以 致 不 能 被 忽略 。 

与 这 些 论文 形成 对 照 的 是 ， 一 些 作者 声称 信息 不 一 致 的 场景 实际 上 是 不 太 可 
能 的 ， 在 关键 应 用 场合 中 采用 CAN 不 代表 威胁 。 特 别 值得 一 提 的 是 ， 最 近 实 验 
评 佑 的 CAN HRR ARIES | PERROF FERROS] 提供 的 针对 不 同 的 比特 错误 率 环境 的 
措施 似乎 表明 : 使 用 参考 文献 中 的 比特 错误 率 [a0788 PROEOO RODROSA) 是 非常 悲观 
的 。 他 们 声称 根据 他 们 的 结果 ， 每 小 时 的 IMO 数 可 能 低 于 10 ?参考 值 (针对 
CAN 网 络 ) 。 然 而 ， 尽 管 作为 实际 环境 中 首次 公布 的 测量 比特 误差 率 尝试 非常 有 
用 ， 然 而 实验 的 结果 并 不 是 决定 性 的 ， 因 此 额外 的 实验 数据 来 源 应 该 可 用 。 


6.2.4 在 CAN 网 络 上 真正 实现 数据 一 致 性 的 解决 方案 


被 动 错误 状态 的 存在 是 CAN 网 络 第 一 个 数据 不 一 致 的 潜在 原因 。 许 多 作者 
提出 了 避免 这 种 状态 以 提高 基于 CAN 的 系统 可 靠 性 [ERR98 HILMO7 RUFD8] 。 这 很 容 
易 通 过 使 用 一 个 在 许多 现代 CAN 电路 提供 的 信号 ( 称 为 错误 警告 通知 ) 来 实 
现 。 当 任何 一 个 错误 计数 器 达到 一 定 值 ， 这 被 认为 是 严重 干扰 的 总 线 (如 在 参 
考 文献 [PHIL] 中 此 值 为 9) 时 ， 就 生成 这 个 信号 。 在 它 ( 指 节点 ) 进入 被 动 
错误 状态 之 前 ， 这 是 一 个 很 好 的 关闭 节点 的 时 刻 ， 从 而 确保 每 个 节点 要 么 是 帮助 
实现 数据 一 致 性 ， 要 么 断 开 连接 。 

关于 主动 错误 状态 中 的 不 一 致 性 问题 ， 重 要 的 是 要 记 住 IMD 失效 可 以 很 容 
易 容忍 ， 所 以 它们 不 需要 采用 任何 特定 的 机 制 。 正 如 在 CAN 文献 中 所 表明 
的 [P01] ， 通 过 合理 地 应 用 程序 设计 ， 复 制 可 以 被 容忍 。 例 如 ， 触 发 一 个 阔 值 
的 消息 在 CAN 网 络 中 永远 不 会 发 送 。 

相 比 之 下 ， 解 决 容 忍 被 动 错误 状态 下 的 IMO 明显 更 复杂 。 只 有 一 个 建 
议 [esogol 可 以 消除 系统 架构 最 低 可 能 级 层面 (CAN 控制 器 ) 上 不 一 致 验证 的 可 
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能 性 。 然 而 ， 这 种 一 致 性 是 通过 稍微 修改 错误 检测 性 能 和 错误 传递 信号 机 制 来 取 
得 的 ， 因 此 这 种 解决 方案 并 不 真正 符合 标准 CAN 网 络 。 

除了 这 种 非 标 准 的 解决 方案 外 ， 还 有 各 种 各 样 的 建议 旨 在 提供 数据 一 致 性 并 
完全 与 标准 CAN 网 络 兼容 。 这 些 解 决 方案 主要 是 分 布 式 协议 一 一 依赖 于 消息 交 
换 。 然而， 它们 在 解决 的 故障 模型 上 是 不 同 的 ， 且 其 中 一 些 实际 上 做 的 事情 没有 
履 盖 上 面 提 及 的 不 一 致 遗 漏 的 所 有 潜在 原因 。 

例如 ， 参 考 文 献 [RUFI98] 中 提出 的 解决 方案 是 基于 分 布 式 协 议 的 ， 它 只 
能 解决 由 发 送 器 崩 演 引起 的 IMO 问题 。 具 体 地 说 ， 它 们 介绍 了 三 个 协议 : 
EDCAN RELCAN 和 TOTCAN。 在 EDCAN 中 ， 所 有 的 接收 器 在 接收 信息 后 ， 重 
新 发 送 消息 来 克服 发 送 器 失败 。 该 协议 满足 除了 总 序 外 的 所 有 原子 广播 属性 ， 从 
而 提供 了 可 靠 的 广播 到?23]。 在 RELCAN 中 ， 相 同 的 属性 采取 更 有 效 的 方法 来 
得 到 满足 。 在 成 功 发 送 主要 信息 后 ， 发 送 器 发 送 一 个 确认 消息 。 只 有 在 规定 的 超 
时 情况 下 ， 确 认 信 息 没 有 到 达 接 收 器 ， 它 们 才 会 启动 重新 传输 主要 信息 。 最 后 ， 
TOTCAN 满足 包括 全 序 在 内 的 所 有 原子 广播 特性 。 每 次 接收 器 得 到 重复 的 消息 ， 
就 把 它 放 在 一 个 队列 的 尾部 。 在 成 功 传输 主要 信息 后 ， 发 送 器 发 送 一 条 接受 消 
息 。 当 接收 器 收 到 接受 消息 后 ， 就 确定 了 消息 在 队列 中 的 位 置 。 如 果 在 一 个 指定 
的 超时 范围 内 接受 消息 没有 到 达 接 收 器 ， 那 么 它们 将 从 队列 中 删除 相应 的 消息 。 
这 些 协议 的 详细 描述 可 以 在 文献 [RUFI98] 中 找到 。 

参考 文献 [LIVA99] 提出 了 一 种 解决 方案 ， 它 依赖 于 专门 设计 的 硬件 电路 。 
这 个 电路 是 一 个 专用 的 电路 ， 称 为 影子 中 继 发 送 器 (SHARE) ， 它 旨 在 检测 比特 
错误 模式 一 一 可 能 意味 着 不 一 致 帧 的 验证 。 一 旦 发 现 这 些 模 式 ，SHARE 电路 将 
转发 可 能 损坏 的 帧 ， 从 而 即使 原来 的 发 送 器 出 故障 ， 也 能 保证 其 接收 。 然 后 ， 通 
过 节点 实施 的 排序 方案 完成 总 排序 。 然 而 ， 这 种 解决 方案 只 能 解决 发 送 器 月 演 引 
起 的 IMO 问题 。 

虽然 参考 文献 [PINH03] 提出 的 方案 可 以 明显 地 扩展 到 处 理 第 二 信道 错误 
引起 的 IMO 问题 ,但 是 该 方案 也 只 能 解决 发 送 器 月 演 引起 的 IMO 问题 。 这 个 解 
决 方案 依赖 于 两 个 额外 的 信息 的 传播 一 一 确认 和 中 断 ， 这 有 助 于 节点 对 帧 的 传输 
是 否 一 致 达成 共识 。 如 果 发 送 器 朋 演 ， 那 么 这 个 解决 方案 不 能 保证 可 靠 的 广播 ， 
只 有 一 致 性 。 

参考 文献 【LIMA03] 提出 的 协议 是 一 个 一 致 性 的 协议 ， 尽 管 存 在 不 一 致 遗 
Me, (LE RIF CAN 网 络 节点 对 某 些 确定 的 值 达 成 一 致 。 该 解决 方案 既 可 以 容许 
Bids WAS | AY IMO 问题 ， 也 可 以 容许 第 二 信道 错误 造成 的 IMO 问题 。 

重要 的 是 要 强调 ， 尚 不 完美 的 解决 方案 可 以 集成 到 CAN 网 络 的 其 他 协议 
中 iR0DR03b] 。 已 经 进行 了 许多 研究 ， 其 目的 在 于 提高 CAN 网 络 的 可 靠 性 和 实时 
属性 ， 因 此 目前 的 研究 更 关注 于 这 些 解决 方案 集成 ， 而 不 是 提供 新 的 解决 方案 。 
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coe 汽车 谋 入 式 系统 手册 
本 章 后 面 所 述 的 一 些 架 构 是 这 种 集成 方法 的 很 好 案例 。 








6.3 CANcentrate 和 ReCANcentrate: CAN 网 络 的 星 形 拓 
扑 结构 


在 分 布 式 控制 系统 中 广泛 使 用 现场 总 线 的 主要 原因 是 因为 它们 的 电气 方面 的 
和 鲁 棒 性 和 低 成 本 。 它 们 低 成 本 的 关键 原因 之 一 是 它们 依靠 总 线 拓扑 。 然 而 ,使 用 
总 线 拓扑 意味 着 一 些 关 于 可 靠 性 的 限制 。 在 总 线 拓扑 结构 中 ， 组 件 采 用 少 有 的 错 
误 控制 机 制 ， 相 互 连 接 到 对 方 。 因 此 ， 依 赖 于 总 线 的 网 络 任何 组 件 (如 通信 控 
制 咒 、 收 发 器 、 连 接 器 、 导 线 等 ) 的 一 个 故障 可 能 产生 错误 ， 它 通过 整个 通信 
子 系统 进行 传播 ， 并 在 某 些 情况 下 造成 广义 的 通信 失效 。 因 此 ， 总 线 拓 扑 提 供 了 
多 个 单 点 故障 。 

在 CAN 的 特殊 情况 中 ， 一 些 文献 提出 了 一 些 解 决 方案 来 增加 错误 控制 功能 : 
复制 总 线 [ RUFI09 .RUSHO3 ] 、 总 线 监 控 [ TIND95 .FERRO5a] 和 可 重 构 总 线 ( 称 为 Red- 
CAN) LTRED2 1  。 然 而 ， 由 于 总 线 拓扑 的 固有 的 特征 ， 前 两 种 技术 即使 它们 一 起 使 
用 ， 也 无 法 避免 存在 多 种 多 样 的 单 点 故障 。 例 如 ， 复 制 的 传播 媒体 可 能 遭受 共 模 
空间 接近 失败 fs ， 且 节点 可 能 仍然 将 不 正确 的 信息 发 送 给 所 有 媒体 ， 总 线 
监控 对 于 包含 失效 媒体 产生 的 错误 是 无 用 的 ， 还 可 能 表现 出 监控 节点 的 共 模 故 
障 。 另 一 方面 ，RedCANLERED02 1 确实 利用 了 在 一 个 总 线段 容忍 一 个 缺点 的 优点 ， 
且 也 有 潜力 检测 和 分 离 几 种 节点 故障 。 然 而 ， 它 仍然 对 网 络 在 第 二 类 故障 上 分 区 
敏感 ， 且 故障 部 件 的 诊断 、 定 位 和 隔离 ， 无 论 是 段 还 是 节点 ， 都 需要 执行 所 有 节 
点 都 必须 参与 的 一 种 算法 ， 从 而 增加 了 解决 方案 的 复杂 性 、 错 误 检测 和 隔离 延 
迟 。 最 后 ， 如 果 每 个 网 络 适配器 也 执行 损坏 位 流 (位 翻转 错误 ) 检测 ， 那 么 发 
生 在 总 线 上 的 多 个 单 点 故障 只 能 由 RedCAN 来 防止 了 。 为 了 实现 这 些 属 性 ， 安 装 
在 每 个 节点 上 的 RedCAN 网 络 适 配 带 会 变 得 相当 复杂 ， 增 加 了 节点 失效 概率 。 

相 比 之 下 ， 星 形 拓 扑 结构 可 能 代表 了 防止 存在 多 个 单 点 故障 的 一 个 有 效 解决 
方案 。 在 一 个 单纯 的 星 形 拓扑 结构 中 ， 每 个 节点 通过 自己 的 链接 连接 到 一 个 中 央 
单元 一 一 中 心 上 。 单 纯 星 形 拓扑 结构 的 一 个 优点 就 是 连接 只 进入 空间 距离 上 星 形 
的 中 心 ， 因 此 不 同 的 链接 遭受 共 模 故 障 的 概率 大 大 降低 。 事 实 上 ， 这 种 类 型 失效 
的 唯一 可 能 是 中 心 附 近 的 故障 。 同 时 ， 对 星 形 拓扑 结构 进行 网 络 分 区 是 不 可 能 
的 。 但 最 重要 的 优势 是 星 形 的 中 心 一 一 hub， 可 以 设计 成 含有 系统 的 有 势 (或 加 
AL) 视图 ， 通 过 其 相应 的 链接 ， 一 点 一 点 地 了 解 每 个 节点 的 贡献 。 在 CAN 网 络 
中 ， 这 种 有 势 图 允许 中 心 达 到 错误 检测 能 力 ， 该 能 力 不 能 通过 使 用 总 线 来 获得 ， 
因为 在 CAN 总 线 中 节点 的 贡献 不 可 逆转 地 混合 在 一 起 了 。 因 此 ， 通 过 切断 足够 
的 枢纽 接口 ， 一 个 适当 的 中 心 可 以 加 强 约束 错误 传播 媒体 和 故障 节点 。 此 外 ， 在 
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放置 在 中 心中 的 监控 者 与 被 这 个 监控 者 监控 的 节点 之 间 ， 确 保 了 故障 的 独立 性 。 

注意 到 中 心 代表 着 依赖 单纯 星 形 折 扑 网 络 的 独特 的 单 点 故障 。 因 此 ， 单 纯 的 
星 形 可 以 提高 误差 控制 。 相 比 之 下 ， 一 个 总 线 网 络 包括 多 个 单 点 故障 。 尽 管 如 
此 ， 一 个 单 点 故障 的 存在 对 于 高 安全 性 的 应 用 场合 来 说 ， 可 能 代表 一 个 重要 的 缺 
点 ， 因 为 该 场合 需要 一 定 程 度 的 、 尽 可 能 高 的 可 靠 性 。 为 了 消除 这 个 单 点 故障 ， 
可 以 采用 复制 的 拓扑 结构 。 在 复制 星 形 拓扑 中 ， 使 用 了 多 个 中 心 ， 因 而 如 果 使 用 
的 一 个 中 心 失败 ， 那 么 节点 仍然 可 以 通过 其 余 非 故障 中 心 进 行 通信 。 

单纯 和 复制 的 星 形 拓扑 的 一 些 潜在 优势 已 经 被 通信 协议 如 TTPACI3A03%1 和 
FlexRay( ‘X95! Fi] FA, TTP/C 提出 带 有 故障 处 理 (故障 诊断 和 故障 钝 化 ) 机 制 的 
两 个 星 形 耦合 器 的 网 络 。 这 些 机 制 处 理 的 故障 模型 主要 包括 杂乱 无 章 、 伪 装 和 略 
微 超标 的 故障 [X93]。 同样 ，FlexRay 允许 建造 多 个 星 形 拓 扑 一 一 有 或 没有 宛 余 
信道 ， 此 外 ， 还 提供 星 形 和 总 线 拓扑 相 结 合 的 可 能 性 。FlexRay 还 使 得 以 下 情形 
变 得 可 能 : 在 星 形 耦合 器 内 包含 了 一 个 集中 的 监控 者 [5 ， 其 故障 处 理 机 制 
类 似 于 那些 包含 在 TTPZC 中 心中 的 机 制 。 

还 推荐 了 一 些 适 用 于 CAN D E Ém fh 4 
构 [CTAKCUXA94 IXX AO5 .CENAOL SAHA06 .BARRO6a .BARRO5a] o 它们 中 的 一 些 是 被 动 意义 上 的 星 形 
其 中 心 作 为 一 个 集中 器 ， 它 的 所 有 输入 信号 耦合 [GA] 。 这 些 星 形 呈 现 的 重要 和 缺 
点 [BARRo6a] 是 关于 耦合 损失 、 明 显 的 星 形 半径 限制 或 比特 率 以 及 电气 问题 等 。 其 
他 类 型 的 星 形 被 称 为 主动 的 星 形 KCUXA94 .IXXA05 .CENAO1 SAHA06 ,BARRO6a } ， 它 克 服 了 被 
动 星 形 的 一 些 技术 问题 。 参 考 文献 [KCUXA94、IXXA05 、CENA01] 中 的 主动 
星 形 依赖 一 个 主动 的 星 形 耦合 器 ， 从 节点 一 点 一 点 接收 传人 的 信号 ， 实 施 了 一 个 
逻辑 与 ， 并 把 结果 重新 传输 给 所 有 节点 。 参 考 文献 [SAHA06 ] 中 提出 的 备 选 主 
动 中 心 允 许 一 个 节点 或 整个 CAN 总 线 连接 到 它 的 每 个 接口 上 。 该 中 心包 括 一 组 
状态 机 ， 它 能 检测 通过 集线器 端口 接收 到 的 每 一 个 占 主 导 地 位 的 脉冲 ， 并 方便 地 
呼应 其 他 端口 。 

不 幸 的 是 ， 这 些 被 动 和 主动 的 星 形 要 么 不 能 解决 故障 隔离 ， 要 么 只 能 处 理 一 
组 可 能 的 故障 ， 有 些 甚至 不 能 与 CAN 协议 兼容 。 对 现 有 被 动 和 主动 星 形 缺 点 的 
一 个 更 深层 次 的 讨论 可 以 在 参考 文献 [BARR06a] 中 找到 。 

相 比 之 下 ， 两 个 星 形 拓 扑 一 一 CANcentrate 和 ReCANcentrate [ 当 同 时 提 到 两 
种 拓扑 结构 时 ， 我们 将 使 用 术语 (Re) CANcentrate ]， 早 已 在 参考 文献 
[BARR06a、BARR05a] 中 提出 ， 它 们 是 专门 设计 用 于 错误 控制 和 容错 的 。 将 在 
本 节 描 述 的 这 两 个 星 形 拓扑 结构 ， 提 供 的 关于 可 靠 性 和 灵活 性 的 CAN 特性 ， 类 
似 于 协议 TTP/C 和 FlexRay 等 提供 的 特性 。 此 外 ， 这 两 个 星 形 拓扑 结构 与 COTS 
组 件 可 以 完全 兼容 ， 并 与 CAN 应 用 程序 、 基 于 CAN 的 协议 如 CANopen, Devi- 
ceNet、FTT - CAN 或 Flex - CAN 兼容 。 这 种 兼容 性 还 允许 CANcentrate 和 Re- 
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保持 CAN 早已 提供 的 所 有 良好 可 靠 性 性 能 0%， 如 位 内 反应 、 错 
号 传送 机 制 等 。 


6.3.1 基本 原理 


CANcentrate 和 ReCANcentrate 的 主要 目的 是 通过 故障 处 理 (故障 诊断 和 故障 
钝 化 ) 和 容错 ， 来 提高 CAN 网 络 的 可 靠 性 。 
为 了 更 好 地 理解 这 些 星 形 结构 故障 处 理 方面 的 目的 ， 下 面 介 绍 一 些 概 
念 9ARR06s] :严重 的 通信 失败 ， 也 就 是 当 多 个 节点 不 能 通信 ; 严重 故障 的 节点 ， 
就 是 节点 的 故 有 章 是 严重 的 ， 它 包含 了 单 点 故障 的 通用 概念 。 在 分 析 CAN 总 线 时 ， 
以 下 错误 可 能 导致 严重 的 失效 : 
oe 显 性 与 隐 性 停留 故障 ， 既 可 以 发 生 在 节点 中 ， 也 可 以 发 生 在 媒介 中 。 
起 源 于 对 地 短路 或 电池 短路 ， 或 控制 器 出 现 故 障 或 被 隔 开 。 
o 媒体 分 区 故障 出 现在 网 络 物理 上 分 解 成 几 个 子 网 〈 称 为 网 络 分 区 ) 的 
时 候 。 
。 位 翻转 错误 发 生 在 网 络 组 件 (节点 或 媒介 ) 展示 出 失败 的 、 不 受 控制 的 
行为 ， 发 送 随 机 的 错误 的 位 值 或 时 间 域 没有 限制 。 
杂乱 无 章 故 障 发 生 在 一 个 节点 发 送 语法 正确 的 帧 ， 但 在 时 域 上 是 错误 的 ， 
导致 了 不 受 欢 迎 的 干扰 。 
CANcentrate 和 ReCANcentrate 处 理 与 物理 层 有 关 的 且 独 立 于 应 用 程序 的 ie 
障 。 因 此 ， 它 们 能 够 限制 上 面 概述 的 前 三 种 类 型 故障 。 没 有 假设 有 关 错 误 可 能 
生 的 位 置 、 频 率 和 持续 时 间 来 作为 这 样 故障 的 结果 。 此 外 ， 监 控 者 可 以 包含 在 两 
个 星 形 中 心中 来 限制 杂乱 无 章 的 故障 。 然 而 ， 即 使 这 样 的 监控 者 不 包含 在 中 心 
中 ，CANcentrate 和 ReCANcentrate 也 能 够 检测 到 杂乱 无 章节 点 ， 如 果 从 节点 的 通 
信子 系统 的 角度 来 看 ， 表 现 为 位 翻转 错误 。 如 果 杂 乱 无 章 的 节点 开始 发 送 一 个 
CAN 帧 信和 号， 而 与 此 同时 另 一 个 CAN 帧 信号 已 经 被 非 故 障 节 点 发 送 ， 那 么 位 翻 
转 错误 可 能 发 生 ， 从 而 损坏 了 帧 信号 。 
CANcentrate 的 中 心 可 以 隔离 在 相应 中 心 端口 的 任何 故障 的 网 络 组 件 ， 如 电 
缆 和 收发 需 等 ， 从 而 防止 错误 传播 ， 防止 严重 故障 的 发 生 。 因 此 ，CANcentrate 
通过 减少 其 他 基于 CAN 总 线 网 络 展现 的 多 个 单 点 广 重 故障 到 一 个 独特 的 单 点 故 
障 一 一 也 就 是 说 中 心 ， a CAN 中 的 故障 处 理 。 这 在 通信 系统 中 有 减少 严重 
失效 概率 的 相关 效应 。 这 个 概率 可 以 通过 进一步 减少 中 心 失效 概率 来 
降低 [BARRO4] 。 
在 某 些 应 用 场合 中 ， 通 过 CANcentrate 获得 的 可 靠 度 并 不 足够 ， 且 出现 单 点 
故障 也 是 不 可 接受 的 。 as 情况 下 ， 中 心 级 的 空间 宛 余 是 需要 的 ， 其 目的 在 于 
容忍 中 心 的 永久 故障 。ReCANcentrate 通过 使 用 复制 拓扑 结构 (包含 两 个 或 者 更 
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多 中 心 ) 提供 了 这 种 宛 余 。 除 了 提供 与 CANcentrate 相同 的 误差 控制 能 力 外 ， 
ReCANcentrate 还 进一步 容忍 中 心 故 障 和 链接 故障 。 











6.3.2 CANcentrate 和 ReCANcentrate 基础 

在 CANcentrate 中 ， 每 个 节点 通过 一 个 专门 的 链接 连接 到 中 心 ， 该 链接 包含 
一 个 上 行 连接 和 下 行 连接 (图 6.3) 。 中 心 通过 相应 的 上 行 链接 接收 每 个 节点 的 
输入 ， 耦 合 所 有 非 故 障 节点 输入 ， 并 通过 下 行 链接 广播 产生 耦合 的 信号。 





























图 6.4 显示 了 内 部 中 心 硬件 = 

HN kij L BARRO6a : 它 由 三 个 模块 组 

成 : MARD, AAAH |f 
ARERI, WA RUR 

考虑 每 个 端口 的 非 故 障 输入 [at =e) wa 
(By, om); 通过 逻辑 与 运算 ， esas ee 
计算 耦合 结果 信号 Bos 把 结果 广 o mef | U e 
播 给 每 个 节点 。 输 入 /输出 模块 cae | 

由 一 组 收发 器 组 成 。 连 接 到 一 个 EZE 

上 行 链接 上 的 每 个 收发 器 把 上 传 ne: ieee 


到 的 物理 信号 转换 成 中 心 其 他 模 

块 可 以 理解 的 逻辑 信号 。 此 外 ,连接 到 一 个 下 行 链接 的 每 个 收发 需 把 Bo 转换 成 
物理 信号 ， 并 通过 下 行 链 接 发 送 到 相应 的 节点 中 。 最 后 ， 故 障 处 理 模块 由 一 组 启 
用 /禁用 装置 组 成 。 
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图 6.4 CANcentrate 中 心 的 内 部 结构 
每 一 个 装置 都 监控 给 定 端口 的 输入 ， 其 目的 在 于 检测 错误 。 当 给 定 端口 积累 
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了 太 多 错误 时 ， 耦 合 模块 通过 驱动 相应 的 逻辑 “1”[ 通 过 启用 /禁用 装置 
(ED, ，,) 来 实现 ] 到 一 个 适当 的 或 门 ， 从 而 隔离 它们 的 输入 。 

每 个 节点 使 用 上 行 和 下 行 链接 允许 把 每 个 节点 的 输入 从 耦合 信号 中 分 离 出 
来 ， 以 便 启 用 /禁用 闭 置 可 以 分 别 监控 每 个 节点 的 输入 ， 并 检测 错误 传输 。 与 
CAN 的 典型 错误 计数 器 55850931 相 比 ， 这 个 特性 允许 中 心 以 更 高 的 精度 诊断 出 故障 
的 位 置 。 永 久 故 障 的 输入 被 禁用 ， 因 此 故障 信号 没有 传播 到 耦合 信号 中 ， 或 换 句 
话说 ， 故 障 信 号 局 限于 原 端口 。 此 外 ,为 了 生存 ， 启 用 /禁用 装置 实施 了 一 个 特 
定 的 再 整合 策略 ， 在 没有 错误 的 预定 义 的 时 间 间 隔 之 后 能 重启 任何 端口 输入 。 

此 外 ， 因 为 中 心 是 在 一 小 部 分 位 时 间 内 进行 耦合 的 ， 所 以 其 操作 对 节点 是 透 
明 的 。 这 使 得 CANcentrate 如 之 前 所 称 的 完全 与 CAN 兼容 。 然 而 ， 因 为 上 传 和 下 
载 链 接 之 间 是 分 开 的 ， 所 以 当 把 一 个 普通 CAN 节点 连接 到 CANcentrate 端口 时 ， 
仍然 需要 一 个 小 的 改造 。 采 用 COTS 收发 器 时 ， 这 种 链接 需要 它们 之 中 的 
两 个 [BARROG] ， 
尽管 CANcentrate 给 CAN 提供 了 不 通过 总 线 拓扑 结构 来 实现 的 错误 控制 特 
性 ， 但 是 它 不 容忍 中 心 和 链接 错误 。 然 而 ， ReCANcentrate! PARR] 可 以 提供 这 样 增 
加 了 使 用 可 靠 性 的 一 个 复制 星 形 拓扑 。 人 尽管 ReCANcentrate 不 限制 中 心 数量 ， 但 
为 了 简单 起 见 ， 在 本 节余 下 的 内 容 中 我 们 只 考虑 两 个 中 心 。 连 接 策略 类 似 于 一 个 
用 于 CANcentrate 中 的 策略 ， 每 个 节点 通过 一 个 上 行 和 下 行 链接 连接 到 每 个 中 心 
(图 6.5)。 复 制 策略 是 这 样 的 ， 以 致 节点 传输 和 接收 相同 数据 并 行 通过 所 有 的 星 
形 ， 通 过 一 个 专用 的 中 心 耦合 〈 使 用 两 个 或 两 个 以 上 的 专用 链接 一 一 称 为 连环 ， 
每 个 都 包含 两 个 独立 的 子 链接 ， 每 个 方向 用 一 个 ， 如 图 6. 5 所 示 。) ， 使 得 执行 
透明 。 注 意 ， 使 用 一 个 以 上 的 连环 允许 容忍 连环 故障 。 


上行 链接 
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图 6.5 ReCANcentrate 连接 框图 
在 内 部 ，ReCANcentrate 的 中 心 与 CANcentrate 的 中 心 非常 类 似 ， 但 是 有 一 些 
修改 ， 主 要 在 耦合 器 模块 ， 两 个 阶段 使 用 了 与 耦合 。 在 第 一 阶段 ， 每 个 中 心 耦合 
来 自 它 自己 节点 〈 即 直接 连接 中 心 的 节点 ) 的 输入 ， 得 到 B。， 现 在 被 称 为 这 个 
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中 心 的 输入 。 这 种 中 心 生成 这 个 输入 的 副本 (图 6.6 中 的 Bo 和 Bu ) ， 并 通过 每 
个 连环 的 一 个 子 链接 将 它们 发 送 给 其 他 中 心 。 在 第 二 阶段 ， 每 个 中 心 耦 合 其 他 中 
心 副本 的 输入 (B'o B'o) 到 自己 的 输入 Bo 中 ， 然 后 把 产生 的 结果 广播 给 直 
接 相连 的 节点 。 
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图 6.6 在 ReCANcentrate 内 部 的 两 级 与 门 

这 种 耦合 方案 是 必要 的 ， 它 允许 每 个 中 心 监控 其 他 中 心 ， 并 在 检测 到 错误 隔 
离 它 。 这 样 监控 和 隔离 是 通过 专业 的 装置 来 进行 的 (相当 于 在 每 个 端口 使 用 了 
该 装置 ) ， 称 为 中 心 启用 /禁用 装置 。 此 外 ， 当 中 心 失 效 时 ， 也 可 以 通过 直接 与 
它 连接 的 节点 来 隔离 该 中 心 ， 例如， 使 用 错误 检测 机 制 的 一 个 错误 计数 国 值 包含 
在 控制 器 中 。 
通过 所 有 的 中 心 广播 给 节点 的 最 后 耦合 信号 是 独一无二 的 ， 并 包含 系统 中 所 
有 节点 的 贡献 ， 其 中 到 中 心 使 用 了 至 少 有 一 个 非 故 障 连接 (无 论 是 哪 一 个 ) 。 这 
个 执行 了 网 络 一 致 性 的 观点 ， 也 就 是 所 有 连接 节点 互相 到 达 对 方 ， 即 使 它们 中 的 
一 些 节 点 只 连接 到 一 个 中 心 。 连 接 非 关键 点 只 到 一 个 中 心 ， 可 能 能 减少 布线 
成 本 。 

除了 这 些 优点 外 ，ReCANcentrate 也 完全 与 CAN 兼容 。 如 同 CANcentrate 一 
样 ，CAN 节点 到 ReCANcentrate 的 每 个 链接 (每 个 中 心 ) 仍然 需要 两 个 COTS 收 
发 咒 。 此 外 ， 一 个 重要 的 优势 来 自由 ReCANcentrate 执行 的 位 同步 ， 它 可 以 克服 
复制 信道 的 同步 困难 问题 。 
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在 所 有 连环 失效 的 情况 下 ， 以 上 与 位 级 中 心 耦 合 的 ReCANcentrate 优点 就 损 
失掉 了 ， 但 节点 仍然 可 以 通信 。 例 如 ， 所 有 节点 可 能 同意 使 用 一 个 独特 的 通信 中 
心 。 通 过 这 种 方式 ，ReCANcentrate 展示 了 故 障 弱 化 优点 。 最 后 , ReCANcentrate 
也 实施 了 类 似 于 CANcentrate 的 重组 策略 一 一 针对 长 久 但 非 永久 性 的 节点 故障 。 


6.3.3 其 他 考虑 


对 于 布线 ， 与 相应 的 总 线 拓扑 结构 相 比 ， 星 形 拓 扑通 常 导致 更 长 的 电 绕 和 更 
高 的 成 本 ， 但 并 不 一 定 如 此 IsAnnal | 事实 上 ， 布 线 长 度 上 的 收益 或 损失 是 高 度 
依赖 于 网 络 的 物理 布局 的 。 此 外 ， 因 为 当 与 总 线 拓扑 结构 相 比 时 ， 星 形 拓扑 在 可 
靠 性 方面 产生 了 实质 性 的 好 处 ， 所 以 当 可 靠 性 成 为 问题 时 ， 星 形 拓扑 应 该 是 一 种 
较 好 选择 。 另 外 ，(Re) CANcentrate 允许 把 总 线 和 星 形 拓扑 结构 两 者 结合 起 来 
(图 6.7) ， 把 容错 需求 较 低 的 一 组 节点 连接 到 中 心 端口 上 ， 共 享 相同 的 上 传 和 下 























传 链接 。 以 这 样 一 种 方式 工作 ，(Re) CANcentrate 即 可 提供 层次 网 络 的 灵活 性 。 
工行 链接 
下 行 链接 








图 6.7 带 有 一 些 节 点 共享 上 行 与 下 行 链接 的 复制 星 形 拓扑 结构 











值得 参考 的 男 一 个 方面 是 网 络 长 度 与 传输 速率 乘积 。 在 CAN 中 ， 因 为 位 内 
响应 特性 原因 ， 这 个 乘积 是 极其 有 限 的 。 然 而 ， 当 从 总 线 移 到 星 形 拓 扑 时 ， 这 个 
约束 会 放松 ， 因 为 在 前 者 参考 适用 于 总 线 长 度 ， 而 在 后 者 中 参考 仅 适 用 于 星 形 直 
径 ， 即 任意 两 个 链接 的 最 大 累计 长 度 ， 这 往往 是 较 短 。 然 而 ， 收 发 右 延 迟 对 星 形 
最 大 直径 是 负面 影响 。 请 注意 ， 在 总 线 中 ,任何 通信 必须 遍历 两 个 收发 器 ; 在 
ReCANcentrate 中 要 遍历 4 个 收发 器 ; 而 在 CANcentrate 中 ， 要 遍历 6 SICA AE, 
在 中 心中 设计 使 用 特定 的 高 速 收发 需 可 以 减少 这 个 问题 。 

最 后 ，CANcentrate 和 ReCANcentrate 工作 原型 的 研发 都 使 用 现场 可 编程 门 阵 
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列 (FPGA) 技术 ， 其 中 编程 使 用 VHSIC 硬件 描述 语言 ， 再 加 上 必要 的 接口 组 
件 。 采 用 CANcentrate 、 传 输 速 率 690kbit/s 取得 的 最 大 星 形 直 径 为 70mLBARR05] ， 
而 采用 ReCANcentrate 、 传 输 速率 625kbit/s 取得 的 最 大 星 形 直径 为 23mLseRR06] 。 
传输 速率 和 星 形 直径 之 间 的 关系 并 不 取决 于 中 心 提供 的 端口 数量 。 事实 上 ,最 大 
的 影响 因素 是 位 于 中 心 的 商业 收发 器 引发 的 延迟 。 

关于 隅 离 和 重组 延迟 ， 在 625kbit/s 传输 速率 下 ， 在 中 心 连接 端口 注入 的 故 
障 隔 离 延 迟 : 对 于 显 性 故障 停顿 是 70ks; 对 于 位 翻转 故障 的 延迟 时 间 为 150 ~ 
690us。 在 连环 端口 ， 相 同类 型 故障 的 隔离 延迟 分 别 为 216us 和 476 ~ 2600hs。 
最 后 ， 两 个 独立 操作 ReCANcentrate Pò 〈 即 没有 连环 ， 重 新 同步 于 连环 连接 并 
建立 一 个 逐 位 广播 域 ) 的 平均 时 间 是 1.3slBAggol 。 注 意 ， 这 些 延迟 相当 短 ， 
使 得 (Re) CANcentrate 足以 满足 应 用 域 如 车 载 网 络 要 求 ， 其 中 传播 率 一 般 低 于 
1kHz， 也 就 是 在 两 个 连续 的 传输 之 间 ， 大 多 数 提 到 的 故障 可 以 检测 和 隔离 。 


























6.4 CANELy 


据 我 们 所 知 ，CANELy 是 第 一 个 尝试 克服 原始 CAN 的 可 靠 性 限制 的 。 更 具 
体 地 说 ，CANELy 解决 了 以 下 的 局 限 性 : 缺乏 一 个 时 钟 同 步 服 务 、 数 据 一 致 性 问 
题 、 有 限 的 错误 控制 和 有 限 支持 容错 。 

图 6.8 显示 了 CANELy 的 架构 。 要 注意 的 是 架构 的 中 央 组 件 是 CAN 的 标准 
层 ,， 它 由 一 个 COSTS CAN 控制 器 来 实施 ， 并 用 一 些 低级 协议 和 简单 机 构 (包括 
透明 介质 元 余 方 案 ) 进行 补充 /增强 。 通 过 这 种 方式 ，CANELy 服务 主要 提供 了 
现成 的 、 对 CAN 标准 没有 修改 的 或 对 CAN 控制 器 没有 修改 的 服务 。 


CANEFy 
#0 

































软件 实施 协议 和 服务 


媒介 多余 CAN 通 售 信道 


图 6.8 CANELy 架构 的 基本 结构 
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在 本 节 的 其 余部 分 ， 我 们 将 简要 讨论 CANELy 如 何 解决 上 面 提 到 的 可 靠 性 限 
制 。 对 于 更 详细 的 讨论 ， 感 兴趣 的 读者 可 以 参考 文献 [RUFI98、RODR98、 
RUFI99 、RUFI03 、RUFI06 ] 。 


6.4.1 时 钟 同 步 


CANELy 架构 提供 了 一 个 容错 时 钟 同步 服务 rR%9?%8] ， 它 也 会 在 后 面 的 第 6.7 
节 被 提 到 。 这 个 服务 也 在 软件 中 实施 ， 并 通过 一 致 性 协议 实现 容错 ， 节 点 周期 性 
地 执行 ， 以 确定 系统 中 正确 的 时 间 参 考 。 这 个 协议 对 于 某 些 应 用 场合 可 能 需要 过 
多 的 信息 ， 但 它 能 够 容忍 各 种 各 样 的 故障 ， 包 括 IMO 和 Byzantine 故障 等 。 实 现 
的 精度 在 100us 范围 内 。 


6.4.2 数据 一 致 性 


在 CANELy 架构 中 ,数据 一 致 性 的 问题 已 经 得 到 了 特别 的 关注 。 为 了 克服 这 
个 限制 ，CANELYy 所 建议 的 解决 方案 是 一 套 协议 ( 即 EDCAN 、RELCAN 和 TOT- 
CAN) ， 它 保证 不 同类 型 的 广播 服务 [N08] 。 这 些 协 议 的 特点 正如 前 面 所 描述 的 
那样 (6.2 节 讨 论 了 数据 一 致 性 问题 ) 。 


6.4.3 错误 控制 


CANELy 比 自然 的 CAN 展现 出 更 好 的 错误 控制 属性 ， 不 过 它 是 CANELy 的 
媒介 宛 余 方案 的 边际 效应 ， 而 不 是 架构 的 原始 目标 。 特 别 的 是 ，CANEILy 包括 一 
些 低级 的 机 制 ， 这 可 能 有 助 于 检测 故障 的 传输 介质 或 故障 的 收发 器 .MUP%3]1。 不 
过 ，CANELy 的 错误 控制 功能 仍然 受到 如 6.3 节 指 出 的 固有 的 总 线 拓扑 结构 的 
限制 。 


6.4.4 容错 支撑 


与 标准 的 CAN 相 比 ，CANELy 提供 了 许多 特性 ， 它 们 帮助 容错 应 用 程序 的 
设计 。 特 别 是 ，CANELy 包括 提供 介质 容错 和 支持 节点 复制 的 机 制 。 

关于 介质 容错 ，CANELy 架构 使 用 一 个 非常 高 效 的 媒介 元 余 方案 (基于 
“与 ”的 媒介 选择 框图 ， 如 图 6.8 所 示 ) ， 它 用 于 处 理 CAN 的 物理 分 区 [Ru591 。 
在 链接 媒介 访问 控制 层 之 前 ， 每 个 媒介 接收 到 的 信号 使 用 常规 的 与 门 方式 来 组 
合 。 这 确保 恢复 介质 分 区 和 网 络 布线 中 的 隐形 停摆 故障 。 其 他 电缆 故障 如 显 性 停 
摆 等 也 可 以 被 发 现 ， 并 短 延 迟 (209ps) 来 处 理 。 除 了 媒介 复制 外 ，CANELy 包 
含 了 男 一 种 机 制 ( 所谓 的 难 访 问 的 控制 ) 来 测量 一 个 节点 所 见 的 网 络 访问 延迟 ， 
从 而 确定 网 络 无 法 访问 时 间 是 否 超过 某 些 指 定 的 可 容忍 的 极限 呈 0906] 。 

关于 节点 复制 ，CANELy 包括 两 个 有 用 的 服务 : 可 靠 的 节点 故障 检测 服务 和 
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HA AIRS ONS), 会 员 服 务 则 在 提供 参与 者 集合 状态 的 一 致 性 信息 ， 因 此 
可 以 用 来 支持 上 层 服务 如 元 余 管理 、 组 通信 和 时 钟 同步 等 。 这 两 种 服务 以 故障 检 
测 / 会 员 协 议 套件 的 形式 组 织 起 来 ， 它 们 构建 为 CAN 控制 器 接口 之 上 的 软件 层 。 
通过 这 种 方式 ， 上 层 协议 实体 可 以 请 求 本 地 节点 加 入 /离开 活跃 节点 集合 或 获取 
当前 节点 成 员 的 观点 。 当 前 活动 节点 集合 组 成 变化 的 通知 是 由 于 当 节 点 加 入 / 离 
开 了 服务 ,或 故障 检测 机 制 检 测 到 的 节点 崩溃 故 障 。 

节点 故障 检测 和 会 员 服 务 是 基于 把 节点 活动 信号 通过 广播 生命 特征 消息 类 似 
心跳 传播 出 去 。 在 某 些 情况 下 ， 这 些 生命 特征 消息 可 以 搭载 到 系统 的 周期 信息 
中 ， 从 而 减少 协议 所 需 的 带宽 。 由 于 空间 的 限制 ,不 能 描述 CANELYy 指定 的 机 
制 ， 该 机 制 是 为 了 持续 管理 生命 特征 消息 以 及 加 入 /离开 的 消息 MB] 。 这 些 机 
制 的 灵感 来 自 于 CANELy 广播 协议 :xu00%] ， 该 内 容 已 在 第 6. 2 节 中 介绍 。 


6.4.5 CANELy 的 局 限 性 


CANELy 解决 了 很 多 CAN 的 局 限 性 ， 同 时 又 保持 了 原 协议 的 灵活 性 。 然 而 ， 
一 个 常见 的 批评 就 是 一 些 推 荐 的 服务 耗 用 信息 通信 方面 大 量 的 资源 ， 如 容错 时 钟 
同步 就 是 如 此 。 因 此 ， 使 用 CANELy 服务 需要 仔细 权衡 每 个 特定 的 适用 场合 。 正 
如 前 面 所 说 ， 错 误 控 制 自然 而 然 要 损害 到 总 线 拓扑 结构 ， 是 存在 于 CANELy 中 的 
另 一 个 局 限 性 来 源 。 此 外 ， 可 用 的 文献 没有 提 及 基于 CANELy 服务 是 如 何 构建 一 
个 完整 的 容错 系统 的 。 事 实 上 ， 提 出 的 每 个 机 制 是 独立 于 其 他 的 描述 的 。 然 而 ， 
CANELy 可 以 被 视 为 一 组 基于 COTS 组 件 的 有 用 的 机 制 或 技术 ,它们 是 系统 设计 
师 在 设计 容错 CAN 系统 时 可 能 会 考虑 的 。 


6.5 FTT -CAN: 在 CAN 总 线 上 弹性 时 间 触 发 通信 





























在 分 布 式 欢 入 式 系统 设计 尤其 是 汽车 系统 设计 中 ， 灵 活性 的 重要 性 日 益 增 
长 ， 这 已 经 在 6. 1 节 中 进行 了 讨论 。 它 的 若干 维度 指 的 是 运行 操作 方面 的 灵活 
性 。 因 此 我 们 一 般 把 所 有 这 些 维度 当做 操作 灵活 性 。 和 寻求 这 种 类 型 的 灵活 性 是 出 
于 支持 动态 配置 变化 的 愿望 引起 的 ， 比 如 那些 危险 事件 、 发 展 需求 、 环 境 变 化 和 
在 线 服务 质量 (QoS) 管理 [80075 U02.SCHMOLMUTI2] 一 般 来 说 ， 更 高 的 灵活 性 
提高 了 系统 的 生存 能 力 [Scan04 ， 例 如 ， 支 持 灵活 的 模式 和 故障 弱化 ， 提 高 
使 用 系统 资源 时 的 效率 [3™" 一 一 特别 是 CPU 和 网 络 带 宽 ， 还 具有 降低 系统 成 
本 和 提高 其 可 靠 性 的 潜力 。 

例如 ， 为 了 提供 容错 功能 的 备份 复制 必须 在 不 同 的 节点 处 可 用 。 然 而 ， 在 许 
多 非 活 路 的 复制 方案 中 ， 它 们 很 少 能 够 使 用 。 因 此 ， 永 久保 持 所 需 的 资源 分 配 即 
CPU 和 网 络 带宽 ， 效 率 是 低下 的 。 另 一 方面 ， 为 其 他 活跃 的 功能 正常 操作 释放 
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这 些 资 源 ， 效 率 将 会 更 好 ， 因 此 可 以 提供 更 好 的 QoS， 仅 在 必要 时 请 求 它们 回 
归 ， 并 相应 地 调整 分 配给 男 一 个 功能 的 资源 ， 然 后 将 恢复 到 一 个 较 低 的 Qo5， 但 
仍然 满足 安全 运行 。 即 使 活跃 地 复制 ， 但 一 旦 失败 ， 副 本 数量 的 减少 会 导致 元 余 
消耗 [30N?9]。 这 可 以 弥补 ， 如 激活 休眠 状态 副本 的 节点 一 一 它们 一 直 用 于 其 他 
非 关 键 操 作 。 就 静态 复制 而 言 ， 这 种 灵活 的 容错 方法 可 以 大 幅 降低 成 本 。 然 而 ， 
正如 参考 文献 【LU02 、PRAS03] 所 承认 的 ， 这 种 灵活 性 与 静态 调度 表 是 不 兼容 
的 ， 而 且 为 了 保持 系统 处 于 安全 的 状态 ， 必 须 在 足够 的 控制 之 下 实现 ， 尤 其 在 适 
应 过 程 中 。 

上 面 提 及 的 灵活 性 和 安全 水 平 需要 一 个 足够 的 、 来 自 计算 和 通信 基础 设施 的 
支持 ， 以 便 任务 的 相关 参数 和 消息 可 以 在 指定 范围 内 进行 动态 调整 :和 MB]。 然 
而 ， 由 于 网 络 诱导 的 延迟 ， 在 一 个 分 布 式 系统 中 迅速 执行 这 种 调整 是 上 共有 挑战 性 
的 ， 需 要 在 涉及 调整 的 节点 之 间 达 成 共识 ， 需 要 在 所 有 节点 执行 同步 调整 。 系 统 
架构 本 质 上 应 该 满足 以 下 要 求 : 

。 有 界 的 通信 延迟 。 

© 用 较 小 的 、 有 界 延 迟 在 线 修改 处 理 /通信 需求， 这 要 求 动 态 任 务 / 流 量 
调度 。 

e 在 线 许可 控制 (基于 适当 的 调度 性 分 析 ， 过 滤 挥 危害 系统 时 效 性 的 变更 
请 求 )， 并 辅 之 以 带宽 管理 ， 具 有 和 较 小 的 、 有 界 的 延迟 。 

。 对 于 所 有 子 系统 的 一 个 预定 义 的 降级 但 安全 的 操作 模式 来 说 ， 需 要 足够 
的 资源 。 

。 改变 针对 每 项 任务 /数据 流 允许 那些 在 线 更 改定 义 的 属性 。 

第 一 条 要 求 需要 一 个 适当 的 网 络 访问 协议 ， 且 它 是 确定 的 和 可 分 析 的 。 第 二 
项 和 第 三 项 要 求 对 应 于 一 个 动态 规划 基础 的 流量 调度 模式 。 第 四 项 和 第 五 项 要 求 
是 这 样 的 方法 ， 它 们 把 灵活 性 约束 为 总 是 导致 安全 场景 的 一 组 允许 的 变化 。 

满足 以 上 需求 推动 了 FTT 通信 模型 的 发 展 ， 其 中 全 局 流量 调度 程序 和 系统 
同步 噩 放 置 在 一 个 中 心 位 置 ， 该 位 置 还 包括 一 个 具有 所 有 通信 需求 和 其 他 的 系统 
FEPER CHR Jae | APM PO? PEDROS ALMEO3] 。 所 有 通信 和 同步 相关 的 数据 都 集中 在 一 个 节 
点 的 事实 使 得 及 时 和 有 效 的 管理 成 为 可 能 。 这 个 节点 被 称 为 主 节 点 ， 且 使 用 特定 
的 控制 消息 ， 以 主 / 从 方式 ， 把 调度 系统 活动 (任务 和 消息 ) 定期 广播 给 其 他 节 
点 。 由 于 系统 的 事务 是 由 时 间 而 不 是 外 部 异步 事件 引发 ， 此 架构 仍然 遵循 时 间 触 
RIARIK, ， 需 要 具有 全 局 时 间 的 概念 〈 由 主 节 点 执行 ) ， 但 是 允许 复杂 的 网 
络 系统 根据 需要 进行 低 延 迟 的 更 新 NP] 。 据 我 们 所 知 ，FTT 模型 是 第 一 次 在 
时 间 触 发 通信 模型 中 尝试 引进 高 水 平 的 操作 灵活 性 ， 以 支持 新 兴 的 应 用 程序 、 适 
应 当前 环境 操作 条 件 或 动态 调整 QoS$。 该 模型 已 经 应 用 于 一 些 网 络 技术 ， 带 来 了 
协议 FTT - CANLIALME021] FTT - 以 太 网 :PEDRO2] 以 及 最 近 的 FTT - SE [MARA06a] ， 它 
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们 分 别 基于 CAN、 以 太 网 、 微 型 分 割 的 交换 式 以 太 网 。 这 些 协议 的 实际 应 用 参 
见 关于 使 用 FTT - CAN 的 自主 移动 机 器 人 的 控制 SV] 和 使 用 FTT -以太 网 的 视 
频 监控 [PEDRG] 的 文献 报道 。 本 节 关 注 FTT - CAN, AAA HA SARA E AYE 
要 组 件 以 及 提供 容错 操作 的 主要 工作 。FTT - CAN 通过 对 流量 的 调度 和 总 的 管 
理 ， 提 供 了 更 高 的 灵活 性 来 解决 CAN 的 局 限 性 ， 利 用 操作 灵活 性 确保 了 时 效 性 ， 
并 针对 资源 利用 率 容错 ， 确 保 了 在 线 重新 配置 能 


6.5.1 FTT 系统 架构 


FIT 系统 架构 的 核心 是 系统 需求 数据 库 (SRDB) ， 它 包含 了 当前 通信 需求 以 
及 其 他 相关 系统 操作 信息 (图 6.9)。 E 
FTT 的 主 节点 ， 以 及 操作 它 的 功能 元 素 ， 即 系统 调度 器 (SS 
给 剩余 节点 的 时 间 表 ， 以 及 管理 在 SRDB 和 SS A a 
入 控制 器 。 
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图 6.9 FIT 协议 的 系统 架构 
6.5.2 双 相 基本 周期 


FIT 协议 的 一 个 关键 概念 是 基本 周期 (EC), EA eB REE TD A, 
它 用 来 分 配 在 总 线 上 的 流量 。 这 一 概念 也 用 于 其 他 协议 ， 如 以 太 网 Powerlink 和 
WorldFIP 等 。 总 线 时 间 被 组 织 为 EC 的 一 个 无 限 序 列 。 在 每 个 EC 中 存在 两 个 窗 
口 ， 每 一 个 窗口 专用 于 不 同类 型 的 流量 ， 即 同步 和 异步 ， 它 们 分 别 具 有 时 间 触 发 
和 事件 触发 的 特点 。 这 些 窗 口 的 顺序 是 协议 依赖 性 的 ， 且 在 FTT -CAN F, = 
步 窗口 领先 于 同步 窗口 (图 6. 10 ) 。 在 两 个 窗口 之 间 协 议 执行 了 严格 的 时 间隔 
离 ， 这 意味 着 如 果 在 各 自 的 窗口 之 中 它 结束 了 ， 那 么 传输 才 开 始 。 

主 节 点 通过 广播 一 ee Shes 使 网 
络 同步 ， 且 在 它 的 数据 字段 内 传送 同步 消息 的 标识 ， 这 个 同步 信息 必须 通过 在 各 
个 EC 内 的 从 节点 以 及 针对 任务 同步 的 特定 触发 标志 来 传递 ， 这 被 和 为 EC 的 时 
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间 表 。 网 络 上 的 所 有 节点 解码 了 TM， 并 传播 了 那个 EC 同步 窗口 中 的 调度 信息 ， 
它们 与 根据 原始 CAN 仲裁 机 制 分 类 的 信息 起 冲突 。 每 个 周期 只 发 布 一 条 控制 消 
息 的 这 种 传输 控制 称 为 一 主 多 从 协议 ， 且 相对 普通 的 一 主 一 从 协议 来 说 ， 它 节省 
了 可 观 的 开销 ， 因 为 减少 了 控制 消息 和 所 有 从 节点 中 周转 时 间 的 重 倒 。 

采用 CAN 的 原始 仲裁 , 在 FTT - CAN 中 的 异步 通信 状况 也 能 得 到 有 效 的 处 
理 。 协 议 以 这 样 一 种 方式 设计 : 异步 窗口 序列 的 行为 表现 得 像 一 个 CAN 总 
线 一 一 运行 在 较 低 的 带宽 但 仍然 保持 其 实时 属性 。 在 那些 窗口 外 面 发 布 的 异步 传 
输 请 求 是 按 顺序 排队 ， 可 能 在 传播 缓 种 区 中 被 删除 ， 并 鉴于 原始 仲裁 过 程 ， 它 们 
会 在 下 一 个 窗口 中 被 提交 。 

基本 周期 {EC) 

tasan 同步 窗口 
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图 6.10 在 FTT-CAN 中 的 EC 和 EC 调度 解码 
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6.5.3 SRDB 


SRDB 包含 四 个 部 分 : 同步 需求 表 (SRT) 、 异 步 需 求 表 (ART) 、 非 实时 表 

(NRT) 和 系统 配置 与 状态 记录 (SCSR) 。SRT 包含 描述 当前 同步 消息 流 : 
SRT = | SM,(C,Ph,P;D,Pr; Xf), = ，…，Ns| 

对 于 每 一 个 消息 流 ，C 是 各 自 的 最 大 传输 时 间 (包括 所 有 花费 的 时 间 )，Ph 
是 相对 相位 〈 即 初始 偏 移 量 ) ，P 是 周期 ，D 是 最 后 期 限 ，Pr 是 应 用 程序 定义 的 
me HICR, Ph, P, D 表示 为 EC 周期 的 整数 倍 。Ns 是 SRT 中 的 元 素数 量 。 
“和 是 一 个 指针 ， 指 癌 一 个 自 定 义 结构 ， 它 可 以 定义 支持 给 定 QoS 管理 策略 的 
特定 参数 ， 如 容许 值 、 弹 性 系数 、 应 用 价值 等 。 还 可 以 定义 虚拟 信息 ， 被 称 为 触 
发 器 ， 其 中 C =0 被 用 于 节点 同步 任务 。 这 些 触发 器 包含 在 EC 时 间 表 中 ， 但 不 
会 导致 任何 消息 传播 。 

异步 要 求 组 件 是 由 两 个 表 一 一 ART 和 NRT 汇总 形成 的 。ART 包含 了 时 间 约 
束 事件 触发 消息 流 的 描述 ， 例 如 ， 警 报 或 紧急 重新 配置 请 求 ; 

ART={AM, (C,mit,D,;Pr,), i= , +, Na} 

除了 使 用 mit，( 最 低 间 隔 时 间 ) 代替 周期 外 ， 这 个 表 类 似 于 SRT， 且 缺少 一 





142 


Hom MERE CAN 网络 eee 


个 初始 阶段 参数 。 因 为 在 不 同 的 异步 消息 之 间 ， 不 存在 相位 控制 。 

NRT 包含 所 需 的 信息 ， 以 确保 非 实时 信息 传输 适合 异步 窗口 ， 按 照 需要 执 
行 时 间隔 离 : 

NRT={NM,(SID,, MAX _C,, Pr;), i=1, =, Ny} 

其 中 ，SID 是 节点 标识 符 ，MAX C 是 由 该 节点 传播 最 长 的 、 非 实时 消息 的 
传输 时 间 ， 包 括 所 有 花费 的 时 间 ， 产 是 节点 非 实时 优先 级 一 一 用 于 允许 总 线 带 
宽 在 节点 之 间 的 不 对 称 分 布 。N\ 是 产生 实时 信息 的 站 的 数量 。 主 节点 只 需要 跟 
踪 通过 每 个 节点 传输 的 最 长 非 实 时 信息 的 长 度 。 

SRDB 的 最 后 一 个 组 件 是 SCSR， 它 包含 所 有 系统 配置 数据 ， 再 加 上 当前 通 
信 数 据 。 这 些 信 息 在 应 用 程序 层 是 可 用 的 ， 这 样 它 就 可 以 用 于 分 析 或 在 运行 时 使 
用 支持 自 适应 策略 ， 引 起 警报 等 。 这 可 能 发 生 一 些 SRDB 组 件 在 一 些 简 单 的 系统 
中 是 没有 必要 存在 的 情况 ， 并 在 这 种 情况 下 它们 是 不 能 实施 的 。 

6.5.4 EC 内 的 主要 时 间 参 数 

FIT 协议 基本 时 序 参数 之 一 是 EC 持续 时 间 ， 我 们 认为 它 具 有 五 的 时 间 单 
位 。 因 为 所 有 周期 、 期 限 和 同步 消息 的 相对 相位 都 是 这 个 时 间 间 隔 的 整数 倍数 ， 
所 以 这 个 参数 建立 了 系统 的 时 间 分 辨 率 。 换 句 话说 ， 它 设置 了 同步 通信 调度 程序 
的 时 间 表 : 














Vizi n Ph;=k +E, Pp=l-E, D;=m> E 

式 中 , k, L m 是 正 整 数 。 
然后 ， 在 EC 之 内 我 们 可 以 确定 三 个 间隔 ， 第 一 个 间隔 是 需要 传输 给 TM 的 
时 间 ， 我 们 考虑 它 为 常数 ， 并 等 于 LTM 时 间 单 位 。 它 对 应 于 调度 时 必须 考虑 的 
所 有 花费 时 间 。 接 下 来 在 EC 内 的 两 个 时 间 间 隔 是 异步 和 同步 窗口 ， 如 图 6. 11 
所 示 。 在 第 个 EC 处 的 后 一 个 窗口 时 间 lsw (n) 根据 同步 通信 调度 来 进行 设 
置 。 这 个 值 在 各 自 的 TM 和 EC 的 时 间 表 中 进行 编码 。lsw (n) 的 数值 决定 异 ; 
窗口 的 持续 时 间 law (n) 和 FTT - CAN 的 结束 时 间 。 一 般 来 说 ，law (n) 等 于 
TM 和 窗口 同步 之 间 的 剩余 时 间 。 该 协议 允许 建立 一 个 同步 窗口 的 最 大 持续 时 间 
(LSW) 和 相应 这 种 类 型 通信 流量 的 最 大 带宽 。 因 此 ， 可 以 保证 一 个 异步 通信 流 


量 的 最 小 带宽 : 


























Vn =|......0<Isw(n) <LSW 
和 
E -LTM -LSWS|[law(n) =E -LTM -Isw(n) | 
最 后 ， 这 两 种 类 型 通信 流量 之 间 严 格 的 时 间隔 离 是 通过 阻止 开始 在 各 自 的 时 
间 窗 口内 不 能 完成 的 任何 传输 来 执行 的 。 在 同步 阶段 ， 它 是 由 通信 流量 调度 程序 
完成 的 ， 所 以 在 EC 调度 表 中 规定 的 所 有 消息 总 是 适合 最 大 宽度 LSW, 在 FTT - 
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图 6.11 在 EC (FTT-CAN) 内 的 主要 时 间 人 参数 

CAN 异步 窗口 中 ， 这 种 隔离 是 通过 设置 一 个 计时 器 、 在 对 应 最 大 传输 时 间 的 时 
间 间 隔 的 窗口 结束 之 前 终止 来 执行 的 。 当 计数 器 终止 时 ， 正 在 等 待 的 请 求 在 那个 
时 间 间 隔 内 可 能 没有 完成 ， 因 此 它们 会 从 网 络 控制 器 传输 缓冲 区 中 被 删除 掉 。 这 
种 机 制 可 能 会 导致 在 异步 窗口 结束 时 插入 短暂 的 空闲 时 间 ， 在 分 析 通 信 流 量 时 必 
须 考 虑 到 这 一 点 。 另 一 个 空闲 时 间 量 早已 由 给 定 EC 内 的 同步 调度 程序 插入 ， 以 
保证 同步 通信 不 超出 同步 窗口 的 结束 时 间 。 然 而 ， 那 个 时 间 量 并 不 考虑 在 lsw 
(n) 数值 中 ， 只 是 有 效 传输 ， 因 此 被 隐 式 异步 通信 回收 。 在 任何 情况 下 分 析 通 
信和 时 效 性 时 ， 它 必须 被 等 同 考虑 。 


6.5.5 容错 特征 


在 FTT 架构 中 存在 两 种 单 点 故障 ， 也 就 是 主 节点 和 总 线 信 道 故障 。 事 实 上 ， 
如 果 主 节点 失效 ， 那 么 带 EC 时 间 表 的 TM 没有 被 传播 ， 因 而 通信 中 断 。 网 络 分 
区 也 破坏 通信 ， 因 此 也 必须 容忍 。 用 一 个 或 多 个 类 似 的 节点 充当 备份 主 节点 和 两 
个 或 两 个 以 上 的 总 线 信 道 ， 使 用 这 样 的 复制 可 以 避免 那样 的 故障 。 此 外 ， 假 定 节 
点 为 沉默 型 失效 ， 并 在 时 域内 从 节点 上 执行 ， 具有 总 线 监 控 者 旦 在 时 域 和 值 域 上 
的 主 节 点 执行 ， 具 有 一 个 特定 的 网 络 接口 ， 用 于 支持 内 部 节点 复制 FERR05] 。 鉴 
于 其 成 本 太 高 ， 如 果 有 必要 ， 从 节点 值 域 的 沉默 型 失效 留 给 了 应 用 程序 。 参 考 的 
容错 架构 如 图 6. 12 所 示 。 

主 节点 的 副本 有 进一步 同步 的 要 求 ， 这 样 它们 可 以 在 没有 任何 通信 调度 间断 
的 情形 下 ， 替 代 活 动 的 节点 。 这 项 要 求 对 在 线 系统 适应 性 来 说 是 非常 困难 的 ， 因 
为 通信 和 需求 可 能 随时 间 而 变化 。 因 此 ， 开 发 了 几 种 机 制 来 处 理 主 节点 复制 ， 即 

e EVAR. 
警戒 机 制 来 检测 备份 主 节点 失去 同步 。 
协议 同步 启动 或 重新 启动 备份 主 节点 ， 坚 持 传输 当前 SRT. 
以 确保 一 致 性 的 SRT 更 新 变更 请 求 的 协议 。 
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图 6.12 ”容错 FIT - CAN 参考 架构 

所 有 与 主 节点 复制 和 沉默 型 执行 相关 的 机 制 已 在 参考 文献 [FERR06] 中 介 
绍 ， 且 更 多 细节 见 参考 文献 [FERR05 ] 。 前 一 种 机 制 在 文献 【MARR06] 中 进 
行 了 进一步 的 实验 评 佑 。 

最 后 , Æ FTT -CAN 中 的 总 线 复制 最 近 已 被 解决 ， 见 参考 文献 [SILV06 ] ， 
总 线 复制 被 推荐 用 于 在 每 一 个 媒体 中 复制 传播 关键 信息 以 及 传播 不 同 的 、 非 关键 
信息 ， 从 而 增加 了 单纯 总 线 的 容量 。 男 一 种 可 能 性 是 使 用 透明 式 的 总 线 复 制 机 
制 ， 比 如 参考 文献 [RUFI99] 中 就 推荐 了 一 种 。 总 线 宛 余 的 一 种 替代 方案 是 使 
用 一 种 复制 的 星 形 ， 如 ReCANcentrate 等 ， 也 将 在 这 一 章 中 介绍 。 

6.5.6 访问 通信 服务 

访问 FTT 协议 中 的 通信 服务 是 通过 两 个 子 系统 来 进行 的 一 一 同步 通信 系统 
(SMS) 和 异步 通信 服务 (AMS)。 前 者 遵循 生产 商 一 消费 者 模型 rH0M3] 处 理 带 
自治 控制 的 同步 通信 ， 也 就 是 说 ， 网 络 决 定 了 传输 时 间 。 通 过 共享 的 缓冲 区 ， 数 
据 在 应 用 程序 和 网 络 之 间 传 递 。SMS 生产 服务 允许 在 网 络 接 口 把 信息 写 和 人 适当 
的 缓冲 器 ; SMS 消费 服务 允许 在 网 络 接口 从 缓冲 区 读 出 信息 。 对 于 这 两 个 服务 ， 
存在 一 个 与 网 络 通信 同步 的 选项 ， 它 允许 触发 应 用 程序 任务 与 主 节 点 产生 的 全 局 
调度 同步 。 三 项 额外 的 服务 允许 管理 SRT， 也 就 是 SRT add, SRT remove 和 
SRT _ change， 它 们 自动 调用 一 个 在 线 准 入 控制 来 保证 持续 的 及 时 性 。 

AMS 提供 了 事件 触发 的 通信 服务 ， 并 在 FTT - CAN 的 工 况 中 直接 映射 到 底 
层 的 协议 中 。 这 些 服务 是 : AMS ”send， 用 于 非 阻塞 立 即 传 输 ; AMS receive, 
用 于 阻塞 接收 。 更 复杂 的 和 可 靠 的 通信 ， 例 如 要 求 承 认 或 请 求 数据 ， 必 须 在 应 用 
程序 级 别 使 用 两 种 基本 的 、 上 面 提 到 的 服务 来 实施 。AMS 使 用 队列 的 长 度 必须 
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在 配置 时 间 点 进行 正确 设置 。 


6.6 FlexCAN: 一 种 确定 的 、 弹 性 的 和 可 靠 的 车 载 网 络 


架构 


在 本 节 中 ， 我 们 总 结 FlexCAN 一 一 早已 提出 的 克服 确定 和 可 靠 局 限 性 的 各 种 
架构 之 一 。 正 如 下 面 所 描述 的 ，FlexCAN 融入 了 几 个 机 制 ， 类 似 TTCAN, FTT - 
CAN 和 FlexRay, 


6.6.1 控制 系统 事务 


几乎 所 有 的 般 入 式 系 统 包括 一 种 或 男 一 种 控制 系统 。 一 般 来 说 ， 控 制 系 统 需 
要 从 物理 过 程 (P) 中 测量 输入 (1)， 执行 控制 功能 (C) ， 并 产生 输出 (0), 
施加 对 物理 过 程 变化 的 影响 。 从 软件 的 角度 来 看 ， 在 控制 系统 中 找 得 到 的 基本 软 
件 功能 或 任务 构成 了 控制 系统 的 事务 (CST) MEGa 。CST 仅仅 包括 执行 一 系列 
软件 的 任务 ， 涉 及 : 任务 (1) 从 过 程 中 收集 输入 ; 任务 (C) 实施 控 
制 功能 ; 任务 (0) 一 一 返回 控制 器 输出 给 物理 过 程 。 这 些 软件 任务 必须 按照 下 
面 的 精确 顺序 执行 : 














了 一 一 C 一 O 一 > 

这 被 称 为 CST 优先 约束 。 同 时 ，CST 优先 约束 和 特定 的 应 用 程序 的 时 间 要 
求 构成 CST 的 时 序 。 

CST 优先 约束 有 两 个 重要 的 属性 : 

D 因果 属性 (CP): 箭头 意味 着 因果 关系 (比如, P 影响 了 )。 

© 时 序 属性 (TP): 箭头 意味 着 时 序 关 系 (比如 ，P 一 I REE IC 之 前 ) 。 

分 布 式 功能 

在 分 布 式 垦 入 式 系 统 中 ， 各 种 传感器 、 执 行 器 和 软件 流程 、I、C 和 0 在 不 
同 的 ECU 上 实施 。 将 一 个 集中 的 CST (只 涉及 一 个 ECU) 转换 成 分 布 式 CST 
(涉及 多 个 ECU) ， 系 统 必须 分 区 。 

分 区 点 在 下 面 以 更 详细 的 信号 流 来 描述 

P 一 S 一 [一 /一 C 一 /一 0 一 /一 A 一 了 

其 中 ， 符 号 /, 意 味 着 分 区 点 。 因 此 ， 存 在 三 个 感 兴趣 的 分 区 点 : 第 一 个 分 区 点 
(pic) 位 于 输入 和 控制 软件 流程 之 间 ; 第 二 个 分 区 点 (pco) 位 于 控制 和 输出 过 
程 之 间 ; 第 三 个 分 区 点 (pos ) 位 于 输出 和 执行 器 软件 流程 之 间 S 























在 P 和 S 及 A 和 P 之 间 之 间 是 不 可 能 有 分 区 点 的 ， 因 为 这 些 接 口 是 硬 件 ， 虽然 在 S 和 I 之 间 可 能 
存在 一 个 。 
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每 有 一 个 分 区 点 ， 就 要 涉及 一 个 通信 系统 ， 从 软件 的 角度 来 看 ， 引 入 两 个 额 
外 的 软件 任务 来 处 理 通信 : 发 射 机 的 任务 Tx 和 接收 器 的 任务 Rx。 因 此 ， 最 一 般 
的 信号 流程 为 : 

P—S—I-Tx— Rx—C— Tx Rx 0 Tx > Rx A P 

通信 任务 就 是 提供 一 个 通信 硬件 和 软件 架构 ， 使 得 Tx 和 Rx 可 用 于 结束 应 用 
程序 。 

FlexCAN 是 一 种 通信 架构 ， 它 提供 了 这 样 的 Tx 和 Rx， 使 得 同步 到 时 间 触 发 
通信 周期 上 ， 并 能 够 执行 CST 优先 级 约束 ， 男 外 还 存在 额外 的 确定 性 、 灵 活性 、 
可 靠 性 的 特性 ， 下 面 将 对 此 进行 说 明 。 


6.6.2 FlexCAN 架构 


FlexCAN 架构 的 目标 是 在 不 影响 它 的 灵活 性 的 情况 下 ， 提 供 额外 的 确定 性 和 
可 靠 的 能 力 给 CAN 协议 。 这 是 通过 将 一 个 附加 层 合并 到 CAN 之 上 来 完成 的 。 
FlexCAN 架构 的 主要 特点 是 复制 组 件 ， 支 持 时 域 可 组 合 性 、 复 制 同步 化 、 复 制 管 
理 和 沉默 型 失效 行为 的 实施 。 

如 图 6. 13 所 示 ，FlexCAN 架构 可 以 灵活 的 方式 ,合并 多 个 复制 信道 和 若干 
个 复制 节点 (除了 通常 未 复制 的 节点 ) [to 。 一 个 节点 和 它 所 有 的 副本 称 为 
容错 单元 (FTU) ， 但 并 不 是 所 有 网 络 节点 需要 复制 。 时 域 可 组 合 性 一 直 是 基于 
CAN 网 络 对 于 对 安全 - 关键 应 用 程序 的 主要 责任 。 存 在 几 个 协议 来 克服 这 个 局 
限 性 ， 比 如 TITCANIFUHRO0 (6.7.1 节 ) AI FTT -CANLIAIMEOD2 (6.5 节 ) ， 它 们 基 
本 上 在 高 层面 采用 时 间 触 发 传输 方案 ， 而 在 低层 面 仍然 使 用 CAN。FlexCAN 也 通 
过 使 用 参考 信息 来 采用 时 间 和 触发 模式 。 人 参考 信息 之 间 的 时 间 间 隔 称 为 通信 周期， 
这 个 间隔 进一步 划分 为 许多 子 周期 ， 如 图 6. 14 所 示 。 而 TTCAN 使 用 一 个 时 钟 同 
步 机 制 来 实现 时 间 触 发 计划 ，FTT - CAN 采用 主 节点 生成 参考 信息 。 在 FlexCAN 
中 ， 节 点 复制 不 仅 处 理 节 点 失效 ， 而 且 在 分 布 的 基础 上 ， 在 不 需要 同步 时 钟 或 主 
从 模式 的 情形 下 也 支持 可 靠 的 参考 信息 。 通 信和 周期 连同 它们 的 次 周期 ， 不仅 对 时 
域 可 组 合 性 有 帮助 ， 而 且 还 帮助 同步 复制 节点 和 信道 ， 并 执行 沉默 型 失效 行为 ， 
特别 针对 使 用 总 线 监控 者 。 此 外 ， 通 信和 周期 对 同步 应 用 程序 非常 有 用 。FlexCAN 
的 灵活 性 在 于 它 同 时 支持 周期 性 和 非 周 期 性 的 通信 。 多 周期 信息 ( 即 周期 性 信 
息 具 有 不 同 的 周期 ) 也 是 通过 适当 信息 调度 来 处 理 的 。 

在 FlexCAN 中 对 复制 信道 提供 信息 同步 很 简单 ， 正 如 每 个 节点 以 原子 的 方 
式 〈 即 没有 中 断 ) 向 所 有 复制 信道 仅仅 发 送 相同 的 信息 。 然 而 对 复制 节点 提供 
信息 同步 不 是 一 件 小 事 ， 因 此 提供 称 为 SafeCAN 特殊 协议 来 处 理 节点 复制 管 
fg LPIMED4a,PIMEO4) 。SafeCAN 存在 许多 容错 特性 。 主 节点 的 更 换 ( 称 为 下 一 个 主 节 
点 ) 总 是 已 经 准备 好 的 (假定 硬件 可 用 )。 就 采用 的 元 余 算法 类 型 而 言 ， 
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控制 器 
FTU 





复制 的 CAN 信 道 
图 6. 13 FlexCAN 架构 


























-一 通信 周期 (Te) — 
|m, mz Mg, M7, Mg M4, Ms M3, Mg 
i RA i RB :i Rc :RD 


: METION 
图 6.14 FlexCAN 架构 的 时 间 触 发 结构 
FlexCAN 使 用 了 静态 和 动态 元 余 组 合 。SafeCAN 协议 假定 节点 是 失效 沉默 型 。 执 
行 这 样 一 个 故障 模型 ，FlexCAN 使 用 在 FTT - CAN 协议 提出 的 类 似 的 技术 ， 在 一 
个 确定 间隔 ， 即 发 送 尝试 窗口 (TAW) 之 后 ， 通 过 使 用 一 个 有 特殊 功能 的 总 线 
监控 者 ， 从 传输 缓冲 区 中 删除 信息 [80JA05 ,80A06] 。 
下 面 给 出 了 额外 的 时 间 触 发 特性 细节 。 基 本 周期 了. 分 成 0 个 子 周期 ， 其 长 
度 等 于 7。 不 考虑 它们 的 节点 位 置 ， 可 以 将 多 达 P 条 信息 分 配 到 每 一 子 周期 。 
因此 ， 网 络 上 的 最 大 信息 数量 是 Px 0。 我们 的 目标 是 使 所 有 信息 在 第 二 个 子 周 
期 开始 之 前 的 子 周期 内 传播 完成 ， 这 是 基于 时 间 独 立 性 原理 。 显 然 ， 如 果 按 照 这 
种 方式 执行 ， 那 么 就 不 存在 信息 从 一 个 子 周期 排队 到 下 一 个 子 周 期 ， 因 而 也 就 不 
存在 一 个 周期 到 下 一 个 周期 的 排队 。 这 种 特殊 的 信息 分 配方 案 是 FlexCAN 采用 
的 方案 。 所 有 信息 分 配 是 按 离线 方式 完成 的 ， 就 像 TTCAN 一 样 。 但 也 与 TTCAN 
不 同 ， 这 个 方案 不 需要 对 所 有 节点 进行 时 钟 同 步 , 但 只 需要 采用 约 0. 1ms 的 最 
小 分 辩 率 管理 计时 器 。 
就 像 TTCAN 一 样 ， 为 了 实施 时 间 触 发 计划 ，FlexCAN 需要 同步 消息 来 明确 
标记 每 个 周期 的 开始 ， 但 不 像 TTCAN 那样 需要 节点 的 时 钟 同 步 。 相 反 ，Flex- 
CAN 依赖 计时 器 将 整个 周期 划分 为 @ 个 (如 4 个 ) 子 周期 。TTCAN 需要 时 钟 来 
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同步 ， 因 为 专用 窗口 都 分 配 到 一 条 信息 。 男 一 方面 ，FlexCAN 中 的 子 周期 都 分 配 
到 一 组 信息 ， 因 此 需要 以 较 低 的 精度 定义 窗口 的 开始 和 结束 时 间 。 

TT 全 局 时 间 调 度 和 结束 应 用 程序 之 间 的 时 间 同 步 性 对 于 大 多 数控 制 系统 是 
至 关 重 要 的 。FlexCAN 允许 任何 CST 事件 (在 图 6.15 PF, ME, BI E) 同步 到 
通信 周期 上 。 图 6. 15 描绘 了 信息 mi 与 通信 周期 的 开始 同步 ， 而 其 他 信息 与 子 周 
期 (如 mw、ms 或 m6) 的 开始 同步 。 




















| 采样 周期 7 : 
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图 6.15  FlexCAN 全 局 信息 调度 表 同 步 到 CST 功能 单元 

在 时 间 触 发 和 可 靠 特 性 方面 ，FlexCAN 相 比 TTCAN 的 主要 优势 就 是 TTCAN 
不 允许 帧 被 重 发 一 一 这 个 引 人 注 目的 特性 是 CAN 针对 可 靠 性 操作 的 ， 而 Flex- 
CAN 让 我 们 可 以 重新 发 送 一 个 错误 帧 ， 但 有 一 定 的 时 间 限 制 。 在 每 一 个 子 周 期 
中 为 错误 重 传 留 下 足够 的 时 间 ， 对 可 靠 性 应 用 程序 来 说 是 很 重要 的 。 因 此 ， 
FlexCAN 使 用 CAN 容错 属性 ， 并 执行 严格 的 信息 最 后 期 限 。FlexCAN 容忍 以 下 
类 型 的 缺点 : 瞬 态 任意 故障 、 永 久 的 硬件 故障 和 永久 性 软件 杂乱 无 章 故 
障 !804A0 BUTA0] 。 这 些 故 障 的 语义 定义 如 下 : 瞬 态 任意 故障 是 被 原始 CAN 协议 
检测 到 ， 并 导致 错误 和 /或 过 载 帧 的 故障 ; 永久 硬件 故障 是 通信 控制 器 、 收 发 器 
或 总 线 的 永久 性 故障 ， 它 们 被 匈 余 节点 或 信道 掩盖 ;永久 性 软件 杂乱 无 章 故障 是 
由 软件 错误 引起 的 ， 表 现 为 在 主机 控制 器 中 用 错误 的 数值 和 在 错误 的 时 间 使 用 
总 线 。 
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6.6.3 FlexCAN 如 何 解决 CAN 的 局 限 性 


下 面 我 们 将 详细 地 介绍 FlexCAN 是 如 何 解决 在 本 章 开 始 就 确定 的 CAN 局 限 
性 的 。 

6. 6.3.1 确定 的 行为 

基于 TDMA 系统 (如 FlexRay)， 很 容易 设计 和 验证 系统 信息 确定 性 属性 ， 
因为 信息 在 通信 周期 内 占据 特定 的 时 槽 。 还 可 以 设计 和 验证 基于 CAN 的 系统 确 
定 的 属性 ， 虽然 过 程 更 为 复杂 ， 这 是 存在 下 面 的 困难 : 

。 在 CAN 协议 中 缺乏 时 间 参 考 。 

。 宽泛 的 、 不 同 信息 传播 率 (或 周期 ) 是 可 能 的 。 

CAN 延迟 计算 的 一 个 困难 起 源 于 早期 应 用 程序 中 使 用 的 CAN ， 其 中 CAN 网 
络 是 系统 中 的 唯一 网 络 ， 因 此 必须 支持 传输 周期 相差 很 大 的 所 有 信息 。 事 实 上 ， 
参考 文献 [BROS04] 采用 的 应 用 案例 中 使 用 6 条 信息 ， 最 小 和 最 大 周期 分 别 为 
2ms 和 240ms， 比 例 系 数 达 120。 拥 有 如 此 宽泛 的 、 不 同比 例 的 传输 周期 ， 且 事 
先 并 不 知道 在 间隔 时 间 上 传输 较 高 优先 级 信息 的 发 送 次 数 〈( 即 受到 来 自 最 高 优先 
级 信息 的 干扰 ) ， 所 以 必须 计算 。 这 就 导致 一 组 复杂 的 回归 方程 ， 必 须 递归 求 
fp TINDS] 。 当 前 和 未 来 系统 具有 几 个 通信 网 络 ， 它 们 中 的 每 一 个 支持 一 种 类 型 
的 应 用 程序 (如 娱乐 、 仪 表 板 、 动 力 总 成 、 线 控 转 向 等 ) 。 这 些 网 络 通常 配置 为 
一 个 骨干 网 和 几 个 子 网 ， 一 个 子 网 专门 针对 车 辆 的 一 个 或 几 个 功能 单元 。 子 网 中 
的 信息 没有 宽泛 变化 的 传输 周期 ， 事 实 上 ，4 ~ 20 的 比例 就 足够 了 。 另 一 个 困难 
源 自 CAN 协议 的 事件 触发 特性 ， 它 不 使 用 全 局 时 间 概 念 。 正 因为 如 此 ， 低 优先 
级 排队 拌 动 和 干扰 信息 造成 了 不 确定 性 的 假设 的 值 。 
通过 为 密切 相关 的 传输 周期 的 信息 定义 一 个 子 网 ， 也 通过 定义 一 个 时 间 触 发 
时 间 参 考 一 一 把 通信 周期 分 成 若干 个 子 周 期 ，FlexCAN 克服 了 前 两 个 限制 。 正 如 
其 他 TT 架构 情形 一 样 ，FlexCAN 需要 设置 一 个 离线 全 局 信息 调度 表 。 此 外 ， 把 
子 周期 内 调度 的 所 有 信息 在 完全 相同 的 时 间 上 (在 子 周 期 的 开始 ) 提交 传输 。 
例如 ， 表 6. 1 显示 了 一 个 通信 周期 带 4 个 子 周 期 ， 其 中 信息 mw 和 m 的 传输 速率 
(通信 周期 的 倒数 ) 分 别 是 其 余 信息 速率 的 4 倍 和 2 倍 。 

表 6.1 FlexCAN 消息 调度 的 案例 










































































使 用 四 个 子 周 期 支持 多 重 速率 
子 周期 I I 亚 WV 
信息 Mı, Ms, Me Mi, Mm, M3 m,, ma Mi, My, M7 





上 面 描述 的 功能 大 大 简化 了 计算 FlexCAN 架构 信息 延迟 的 方程 M06s] 。 首 
先 ， 针 对 所 有 子 周期 的 信息 延迟 计算 是 在 一 个 子 周期 的 基础 上 完成 的 。 对 于 每 一 
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个 子 周期 ,信息 重新 标记 为 mw 、m,…。 其 中 mi 是 最 高 优先 级 信息 ，ms 是 次 高 
优先 级 信息 ， 以 此 类 推 。 因 为 每 一 子 周 期 内 所 有 信息 提交 传输 是 在 完全 相同 的 时 
间 上 ， 拌 动 是 零 ， 且 没有 阻止 来 自 低 优先 级 的 信息 ， 所 以 带 来 了 信息 延迟 计算 的 
简化 。 

当 与 CAN 中 计算 信息 响应 时 间 相 比 时 ，FlexCAN 中 计算 信息 响应 时 间 具 有 
以 下 优势 

。 计算 更 准确 ， 因 为 它们 是 在 子 循环 的 基础 上 完成 的 ， 相 对 于 时 间 触 发 通 
信 周 期， 每 一 个 子 周期 独立 于 下 一 个 子 周 期 ， 即 所 有 的 信息 都 是 在 各 自 的 子 周 期 
内 发 送 的 。 

。 因为 方程 不 涉及 递归 关系 ， 所 以 计算 很 容易 评估 。 

。 计算 假定 拌 动 是 零 ， 这 是 由 FlexCAN 信息 调度 表 强 制 执行 的 。 

© 公式 是 准确 的 ， 因 为 不 需要 考虑 由 低 优先 级 信息 引起 的 阻塞 时 间 。 

e 由 FlexCAN 信息 全 局 调度 表 提 前 考虑 多 重 速率 情况 。 

6.6.3.2 Bik 

因为 很 多 汽车 应 用 程序 在 子 网 级 不 需要 高 速 ， 所 以 这 条 CAN 固有 的 局 限 性 
不 需要 FlexCAN 来 解决 。 高 速 要 求 对 车 载 骨干 网 络 来 说 ， 是 最 普遍 的 。 
6.6.3.3 灵活 性 
如 上 所 述 ，FlexCAN 针对 周期 信息 依赖 于 一 个 静态 的 调度 表 ， 并 留 有 足够 的 
宽 来 对 付 非 周期 通信 ， 因 此 FlexCAN 所 有 灵活 性 属性 都 被 这 样 假设 。FlexCAN 
构 是 高 度 灵活 的 ， 在 于 提供 了 以 下 各 种 类 型 的 灵活 性 。 
6. 6. 3.3.1 设计 灵活 性 
这 包括 支持 子 网 不 同 的 数据 速率 和 支持 灵活 的 汽车 架构 。 
6. 6. 3.3.2 配置 灵活 性 
FlexCAN 的 所 有 确定 性 和 可 靠 的 功能 是 可 选 的 。 没 有 任何 额外 功能 的 Flex- 
CAN 架构 是 CAN。 使 用 以 下 一 个 或 多 个 额外 功能 ， 可 以 设计 出 一 个 高 度 确定 性 
系统 (合并 功能 1 和 2) 或 一 个 高 度 可 靠 的 系统 (包含 所 有 功能 ) ， 或 位 于 这 两 
个 极端 系统 之 间 的 任何 系统 。 

e TT 同步 。 

© 失效 沉默 型 执行 。 

。 信道 复制 。 

。 节点 复制 。 

e 总 线 监 控 。 

6.6.3.3.3 网 络 负载 (通信) 灵活 性 

支持 周期 性 和 非 周 期 性 通信 ; 灵活 的 信息 调度 ; 支持 多 重 速率 的 信息 。 对 非 
周期 性 通信 的 支持 是 通过 在 子 周 期 内 为 这 种 类 型 的 通信 和 留 下 足够 的 带宽 。 
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此 外 ，FlexCAN 并 不 折 中 解决 CAN 固有 的 灵活 性 ， 它 们 涉及 以 下 CAN 的 灵 
活性 : 重新 配置 灵活 性 (涉及 变更 ) 、 诊 断 灵 活性 、 参 数 灵 活性 、 测 试 灵 活性 、 
集成 灵活 性 、 层 次 网 络 灵 活性 、 功 能 灵活 性 以 及 只 是 在 时 间 上 的 灵活 性 。 然 而 ， 
必须 指出 的 是 上 述 特性 是 离线 状态 的 ， 而 不 是 在 线 状 态 的 。 

6. 6.3.4 可 靠 性 

如 上 所 述 ，FlexCAN 包括 一 些 可 选 特性 来 支持 安全 性 至 关 重 要 的 应 用 程序 。 
这 些 特性 是 失效 沉默 型 执行 、 信 道 复 制 、 节 点 复制 和 总 线 监控 者 [80JA05 .8BUJA06] 。 
所 有 这 些 特 性 已 经 在 一 些 论 文 [ PIME04a ,PIME04a , PIME04 ,BUJA0S ,BUJA06 | 中 公布 这 些 功 能 
(或 特性 ) 都 进行 了 广泛 的 测试 ?M06,3ERI06] 。 由 于 篇 幅 的 限制 ，RlexCAN 是 如 
何 实现 这 些 功能 的 在 这 里 并 不 详细 介绍 ， 读 者 可 以 参考 以 上 列举 的 文献 。 

安全 性 至 关 重 要 的 系统 设计 的 重要 任务 在 于 评估 应 用 程序 的 安全 完整 性 。 研 
究 出 了 一 种 方法 来 评估 汽车 应 用 程序 的 安全 完整 性 。 该 方法 是 从 功能 装置 对 付 随 
机 外 部 干扰 方面 来 进行 的 !Pntzo6] 是 一 个 三 步 流 程 ， 它 要 求 评 价 通信 系统 的 信息 
传递 失败 的 概率 、 通 信和 周期 失效 的 概率 以 及 最 后 的 功能 装置 失败 的 概率 。 该 方法 
已 被 用 于 评估 实施 的 线 控 转 向 功能 装置 的 安全 完整 性 ， 它 使 用 FlexCAN 产生 了 
B AFHIR RLP MEOS] 。 


6.6.4 FlexCAN 应 用 及 小 结 


FlexCAN 架构 已 在 凯特 林 大 学 高 尔 夫 车 上 用 于 设计 和 实现 一 个 线 控 转 向 功能 
装置 [PME06] 。 又 车 线 控 功 能 单元 的 设计 已 在 帕 多 瓦 大 学 完成 [BERrol ， 且 它 的 实 
施 也 在 进行 中 。 其 他 涉及 混合 动力 汽车 动力 总 成 功能 装置 的 实施 正在 规划 中 。 

在 本 节 中 ， 我 们 提供 了 FlexCAN 架构 的 一 个 简短 的 概述 ， 包 括 它 的 确定 性 、 
灵活 性 和 可 靠 性 。FlexCAN 改善 CAN 的 确定 性 行为 ， 是 通过 融合 一 个 时 间 触 发 
结构 化 的 方式 一 一 类 似 于 FlexRay， 但 没有 借助 于 TDMA 总 线 访问 方案 ， 也 没有 
没有 时 钟 同 步 。 不 像 TTCAN，FlexCAN 保留 了 CAN 协议 的 大 部 分 灵活 性 和 可 靠 
性 。 一 组 可 选 特性 ， 比 如 失效 沉默 型 执行 、 信 道 复制 、 节 点 复制 和 总 线 监 探 者 ， 
日 益 提 高 了 FlexCAN 可 靠 性 ， 从 而 使 它 适 合 应 用 于 安全 关键 的 应 用 程序 (如 果 
有 需要 ) 。FlexCAN 架构 及 其 协议 已 进行 了 广泛 的 模拟 ， 且 在 多 个 应 用 程序 中 进 
行 了 实施 。 


6.7 解决 CAN 网 络 可 靠 性 的 其 他 方法 
本 节 包 含 了 其 他 一 些 最 近 的 工作 一 添加 服务 到 CAN 中 ， 在 某 种 程度 上 也 


给 提高 通信 可 靠 性 做 出 了 贡献 。 也 就 是 说 ,我们 包括 了 在 参考 文献 | SHOR07] 
中 推荐 的 时 间 触 发 CAN (TTCAN)、 容 错时 间 触 发 通信 方案 、 及 时 CAN 
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(TCAN) 、ServerCAN 和 容错 时 钟 同步 服务 。 
6.7.1 TTCAN 











TTCAN 是 一 个 ISO 标准 :S91 ， 它 的 研发 基于 一 个 高 精度 的 网 络 范围 的 时 
基 ， 提供 额外 的 时 间 触 发 传输 控制 给 原始 的 CAN 协议 。 这 减少 了 CAN 抖动 的 限 
制 ， 使 得 传输 时 间 具 有 确定 性 ， 提 供 了 一 种 方法 进行 及 时 检测 接收 器 端的 遗漏 ， 
使 得 能 够 快速 应 对 这 种 情况 。 

TTCAN 中 存在 两 种 可 能 的 状态 ， 状 态 1 使 用 本 地 时 间 〈 周 期) ， 状 态 2 使 用 
硬件 支持 外 部 时 钟 同 步 ， 在 CAN 控制 器 之 间 执 行 连续 漂移 校正 。 时 钟 同 步 由 一 
个 时 间 主 节点 执行 ， 发 送 特定 的 时 间 参 考 信 息 。 

TTCAN 采用 TDMA 介质 访问 协议 。 网 络 节 点 被 分 配 不 同时 段 来 访问 总 线 。 
分 配给 节点 时 段 的 顺序 以 基本 周期 来 描述 ， 这 些 反 过 来 在 矩阵 周期 中 组 合 (图 
6.16)。 和 矩阵 中 的 所 有 基本 周期 具有 相同 的 时 间 ， 但 可 以 有 不 同 的 时 权 (或 时 
Br) 结构 。 和 矩阵 在 一 个 周期 中 被 顺序 扫描 ， 并 无 休止 地 重复 ， 该 矩阵 定义 了 一 
个 周期 信息 传输 计划 。 每 个 基本 周期 从 传输 参考 信息 开始 。 

因为 TTCAN 是 在 CAN 基础 上 构建 的 ， 所 以 它 继承 了 CAN 的 大 部 分 属性 ， 
包括 1 Mbit/s 的 最 大 传输 速率 、 短 时 有 效 载 荷 良 好 的 带宽 效率 和 分 布 式 仲裁 机 
制 。 这 种 机 制 是 用 于 多 个 目的 的 ， 即 支持 共享 时 槽 一 一 称 为 仲裁 窗口 ， 其 中 如 果 
事件 信息 在 时 槽 的 开始 就 准备 好 了 ， 那 么 就 可 以 传播 ; 并 容忍 在 时 间 域 内 的 偏 
差 ， 它 不 会 引起 数据 的 直接 损失 ， 相 反 但 会 延迟 传输 。 毕 竟 ， 后 一 方面 几乎 被 所 
有 时 间 上 更 高 层 协议 所 共享 ， 可 以 增加 它们 的 鲁 棒 性 。 一 般 来 说 ， 节 点 使 用 单 发 
传输 模式 ， 也 就 是 说 ， 它 们 要 么 成 功 地 立即 开始 传输 ， 要 么 不 会 传播 。 这 也 意味 
着 自动 传输 错误 是 禁用 的 。 

TTCAN 可 以 四 个 模式 来 操作 : 配置 、CAN 通信 、 时 间 触 发 通信 和 事件 同步 
时 间 触 发 通信 。 模 式 之 间 的 变化 意味 着 回 到 配置 模式 。 为 了 安全 起 见 ， 这 种 模式 
也 是 唯一 一 种 可 以 写 到 系统 矩阵 上 的 模式 ， 从 而 暗示 一 个 运行 时 的 静态 周期 调 
度 表 。 

类 似 于 CAN 的 做 法 ，TTCAN 使 用 错误 控制 策略 (ISO11898 -1)， 即 基于 错 
误 被 动 和 总 线 断 开 状 态 , 但 是 增加 了 检测 调度 错误 ， 例 如 ,缺乏 信息 或 在 一 个 专 
用 时 槽 中 的 冲突 。 这 个 信息 可 以 在 更 高 层次 使 用 ， 来 实现 其 他 主动 故障 约束 机 
制 。 错 误 被 动 和 总 线 断 开机 制 操作 相对 缓慢 ， 它 们 取决 于 检测 到 的 频率 和 错误 类 
型 ， 但 它们 根据 TTCAN 规范 ， 最 终 提供 故障 沉默 。 与 CAN 类 似 ， 总 线 监控 者 不 
在 标准 (6.1 节 ) 中 考虑 。 

已 经 产生 了 一 些 争 议 的 一 个 特殊 方面 ， 就 是 使 用 单 发 传输 模式 。 在 这 种 情况 
下 ， 早 已 在 6. 2 节 讨 论 过 的 对 不 一 致 场景 反应 ， 是 大 大 不 同 于 CAN AY, EXE, 
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没有 自动 重 传 将 避免 不 一 致 的 副本 ， 但 生成 IMO 的 概率 将 更 高 。 因 此 一 些 作 者 
声称 : 与 CAN 相 比 ，TTCAN 较 少 适合 对 安全 性 要 求 苛 刻 的 应 用 程序 LROpR03] 。 

最 后 ，TTCAN 还 提供 了 一 种 机 制 ， 用 于 时 间 主 节点 复制 及 更 换 以 确保 参考 
言 息 的 连续 传输 。 











传输 询 阵 





































































































基本 周期 3 信息 局 i 局 信息 M 



































到 6. 16 具有 四 个 基本 周期 的 TTCAN 系统 矩阵 
6.7.2 使 用 CAN 网 络 的 容错 时 间 触 发 通信 


Short 和 PondLsaogo7] 最 近 发 布 了 一 个 有 趣 的 蔡 代 方 案 ， 就 是 利用 信道 宛 余 来 
改善 可 靠 的 CAN 通信 。 他 们 的 方案 基于 同步 时 钟 对 每 个 频道 使 用 TDMA， 且 由 
于 信道 错误 而 要 求 重 发 CAN 信息 是 禁用 的 〈 单 发 传输 模式 ) 。 如 前 6. 2.3 节 所 
述 , 在 TTCAN 的 情况 下 ， 众 所 周知 ， 单 发 传输 消除 了 IMD ， 但 增加 了 IMO 的 发 
生 概 率 。Short 和 Pond 已 经 演示 了 一 个 信道 元 余 管 理 方案 ， 其 中 IMO 的 发 生 概 率 
减少 到 了 可 以 接受 的 水 平 。 

这 个 解决 方案 的 一 个 有 趣 特 性 是 它 强烈 地 依赖 于 时 钟 同步 。 在 文献 
[SHOR07] 中 ， 针 对 信道 宛 余 方案 ,人 研究 了 时 钟 精度 对 带宽 利用 的 影响 。 得 出 
的 结论 是 : 随 着 比特 率 的 增加 ， 对 时 钟 精度 的 要 求 也 提高 。 例 如 ， 研 究 表 明 在 最 
大 比特 率 (1Mbit/s) ， 精 度 从 100us 提高 到 10us， 增 加 的 带宽 利用 率 接近 40% 。 

也 很 重要 的 是 这 个 解决 方案 不 能 解决 CAN 的 一 些 可 靠 性 方面 的 局 限 性 。 诸 
如 错误 控制 和 支持 容错 等 方面 是 淫 开 的 ， 应 该 用 额外 的 技巧 和 协议 来 解决 。 然 
而 ，6. 5 节 中 所 讨论 的 操作 灵活 性 似乎 与 这 个 方案 不 兼容 ， 因 为 它 依赖 于 一 个 静 
态 的 TDMA 方案 ， 以 管理 信道 元 余 。 














6.7.3 TCAN 


开发 及 时 CAN (TCAN) [BRos03] 协 议 一 一 以 前 称 作 最 新 发 送 时 间 CAN, 目的 
是 约束 由 针对 错误 CAN 自动 重 传 造成 的 干扰 ， 因 此 它 是 时 间 域 内 的 一 种 错误 控 
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制 形式 。TCAN 是 基于 这 样 的 观察 : 如 果 信息 发 送 需 知道 它 的 信息 将 在 最 后 期 限 
之 后 到 达 接 收回 ,那么 最 好 放弃 该 信息 ， 以 节省 带宽 ， 并 减少 对 剩余 通信 的 干扰 
(图 6. 17) 。 根 据 这 个 方案 ， 所 有 传输 信息 都 会 准时 到 达 ， 或 都 不 到 达 。 不 是 由 
延迟 到 达 信 息 发 布 的 带宽 ， 可 以 用 于 促进 及 时 交付 其 他 帧 。 

重新 传输 从 1 o 
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图 6.17 典型 TCAN 信息 传输 方案 


每 个 TCAN 帧 与 传输 阔 值 时 间 有 关 ， 称 为 最 迟 发 送 时 间 (LST) ， 把 它 作为 
与 此 信息 相关 的 所 有 节点 的 前 提 和 条件， 也 就 是 发 送 器 和 接收 器 基于 信息 绝对 的 截 
止 日 期 减 去 帧 传输 时 间 。 这 需要 一 个 全 局 时 基 来 同步 发 送 器 和 接收 器 ， 这 意味 着 
绝对 传输 时 间 也 是 预先 定义 的 。 因 此 ， 这 也 是 一 个 时 间 方 案 。 然 而 ， 协 议 可 以 处 
理由 于 可 能 的 重 发 和 干扰 造成 的 延迟 ， 这 样 有 效 的 帧 传输 也 可 以 晚 一 些 开 始 ， 但 
总 是 在 LST 之 前 ， 也 就 是 说 ， 在 一 个 重 传 窗口 内 ， 从 指定 的 传输 时 间 开 始 ， 并 
在 LST 结束 。 当 定义 LST、 推 导 发 送 器 处 的 LST 并 把 它 添加 到 接收 器 端 时 ， 需 要 
考虑 全 局 时 钟 的 精度 ， 来 应 对 时 钟 漂移 。TCAN 协议 介 于 CAN 和 TTCAN 之 间 ， 
它 是 一 定 程 度 的 信息 传输 能 力 和 可 预测 时 间 窗 口内 信息 传输 之 间 的 折 中 。 

已 经 开发 了 根据 误差 模型 的 响应 时 域 分 析 ， 它 考虑 了 重 发 的 有 界 影响 。 像 往 
常 的 实时 分 析 一 样 ， 当 这 种 响应 时 间 小 于 信息 截止 时 间 时 ， 信 息 的 及 时 性 可 以 在 
考虑 的 假设 下 得 到 保证 。 因 为 这 种 分 析 对 在 线 使 用 来 说 成 本 太 高 ， 因 此 在 运行 时 
需要 把 信息 设置 为 静态 的 。 

最 后 ， 提 出 了 一 些 针 对 TCAN 的 总 线 监 控 者 [BRosoal ， 它 们 尝试 执行 每 条 信 
息 的 最 低 互 传 时 间 ， 从 而 改善 这 个 协议 的 错误 控制 特性 。 然 而 ， 一 些 推荐 的 总 线 
监控 者 在 本 质 上 是 有 限制 的 ， 表 现 出 实施 的 易 容 性 是 一 种 妥协 ， 这 是 因为 它们 使 
用 了 COTS 组 件 ， 具 有 一 定 的 故障 覆盖 率 一 一 例如 就 约束 杂乱 无 章 类 型 错误 


而 言 [FERROSa] 
A o 























6.7.4 ServerCAN 


ServerCAN!NOLTS] 是 另 一 个 提出 的 更 高 层次 的 CAN 协议 ， 目 的 是 在 存在 时 序 
失效 的 情形 下 提高 通信 的 鲁 棒 性 ， 比 如 时 序 失效 有 杂乱 无 章 ， 或 者 非 周期 性 信息 
带 来 的 不 能 保证 最 小 的 间隔 时 间 。 因 此 就 时 序 故障 而 言 ， 它 在 误差 控制 方面 是 一 
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个 改进 ， 并 减少 了 信息 流 之 间 的 干扰 。 在 这 个 协议 中 ， 每 个 信息 流 都 是 由 任务 系 
统 中 的 一 个 服务 器 按 着 服务 器 的 调度 模式 来 处 理 的 ， 如 周期 性 服务 器 、 零 星 服务 
器 、 总 带宽 服务 器 等 [8075] 。 在 这 种 模式 中 ， 一 定 的 传输 容量 是 分 配给 每 条 信 
息 的 ， 并 加 上 足够 的 容量 补充 规则 。 这 允许 限制 传输 每 条 信息 使 用 的 有 效 带 宽 。 
如 果 仍 有 是 够 的 容量 ， 则 授权 能 及 时 传播 ， 但 若 容 量 耗 尽 ， 则 继续 保持 传输 。 

为 了 实现 所 需 的 传输 控制 和 服务 器 管理 ， 协 议 使 用 一 个 有 效 的 主 从 机 制 
(图 6. 18) ， 它 是 基于 FTT -CAN 的 机 制 (6.5 节 ) ， 也 就 是 说 ， 在 由 单一 主 节 点 
言 息 触 发 的 EC 中 组 织 起 来 的 TM， 编 码 识 别 若干 轮 询 的 信息 。 主 节点 执行 所 有 
服务 器 来 确定 当前 的 容量 ， 并 轮 询 信息 一 一 它们 的 服务 器 仍然 留 有 足够 的 容量 。 
从 节点 管理 本 地 生成 的 信息 队列 ， 并 只 传输 受到 主 节 点 轮 询 的 信息 。 如 果 轮 询 消 
ARCANE Git), IBA EC 能 在 它们 的 名 义 周期 之 前 完成 。 然 而 ， 请 注 
意 ， 这 些 遗 漏 并 不 是 错误 ， 因 为 它们 是 采用 的 通信 模型 的 一 部 分 ， 即 非 周期 
性 的 。 
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图 6. 18 ServerCAN 中 的 EC 和 主 节 点 查询 

















6.7.5 CAN 网 络 上 容错 时 钟 同 步 


众所周知 ， 可 靠 的 分 布 式 移 入 式 系统 可 以 大 大 受益 于 时 钟 同步 服务 ， 如 简化 
故障 检测 和 元 余 管 理 等 机 制 ， 或 一 般 进行 同步 行动 。 本 章 提 到 的 一 些 协 议 ， 如 
CANELy、TTCAN 、TCAN ， 它 们 依靠 时 钟 同步 服务 。 因 为 这 个 服务 带 来 的 优势 ， 
所 以 正如 6. 1 节 早 已 指出 的 那样 : CAN 标准 (19093) 中 不 存在 这 一 条 是 CAN 
的 局 限 性 。 因 此 ， 当 在 一 个 网 络 需 要 或 者 想 要 时 钟 同步 时 ， 必 须 通 过 一 个 外 部 机 
制 来 执行 。 此 外 ， 每 当 高 层 机制 建 立 在 同步 时 钟 假设 之 上 时 ， 非 常 重要 的 是 保证 
时 钟 同步 服务 足够 可 靠 ， 这 点 可 以 通过 足够 的 容错 技术 来 提供 。 在 本 节 中 ， 我 们 
简要 地 讨论 文献 中 提出 的 实现 CAN 容错 时 钟 同步 的 一 些 解 决 方案 ， 即 参考 文献 
[ RODR98 、LEE03 、RODR06] 中 所 描述 的 那些 内 容 。 容 错时 钟 同步 也 在 参考 文 
献 [FUHR00] 中 解决 ,但 是 它 是 专门 针对 TTCAN 的 。 

尽管 参考 文献 [RODR98 ] 中 提出 的 解决 方案 (6.5 节 ) 可 以 应 用 于 任何 
CAN 架构 ， 但 是 它 构 成 了 CANELy 架构 的 一 个 重要 元 素 。 在 可 靠 的 分 布 式 系统 
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中 ， 这 个 解决 方案 遵循 古典 方法 : 节点 周期 性 地 执行 一 致 性 的 协议 来 决定 哪 一 个 
是 正确 的 时 钟 参考 ， 然 后 它们 同步 到 参考 点 。 这 个 一 致 性 协议 在 各 轮 信 息 交 换 中 
执行 。 这 个 解决 方案 考虑 多 种 故障 模式 : 从 处 理 器 月 演 到 Byzantine HC hE, Ff St 
现 出 作为 一 种 纯粹 的 软件 解决 方案 的 优势 。 这 个 解决 方案 的 缺点 是 它 只 达到 有 限 
的 时 钟 精度 ( ~ 100ks) ， 且 它 可 能 会 导致 信息 的 爆发 ， 当 执行 这 种 信息 调度 时 ， 
应 该 仔细 考虑 。 

文献 [LEE03] 提出 的 解决 方案 类 似 于 前 一 个 方案 。 它 也 是 在 软件 中 实现 ， 
但 它 减 少 了 每 一 个 同步 循环 中 所 需 的 信息 数量 。 作 者 声称 几 微 秒 的 精度 可 以 实 
现 。 这 个 解决 方案 的 主要 缺点 是 它 的 有 限 故 障 模 型 ， 它 不 包括 不 一 致 的 信息 传输 
(6.2 节 ) 。 

TTCAN 状态 2 AAG POR! 包括 一 个 硬件 实施 的 时 钟 同 步 服务 ， 它 被 合并 
到 TTCAN 控制 器 中 。 这 个 服务 是 基于 主 从 模式 的 ， 并 使 用 主 复制 。 取 得 的 精度 
大 约 为 1bit。 不 幸 的 是 ，TTCAN 的 时 钟 同步 服务 不 能 被 标准 的 CAN 网 络 所 采用 。 
首先 ， 因 为 它 需 要 一 个 TTCAN 控制 器 〈 而 不 是 一 个 标准 CAN 控制 需 ) ; 其 次 ， 
因为 它 依赖 于 TTCAN 的 参考 信息 ， 所 以 它 需 要 通信 组 织 起 来 像 6.7. 1 节 中 讨论 
的 系统 和 矩阵。 此 外 ， 它 只 考虑 有 限 的 故障 模型 ， 不 包括 例如 不 一 致 信息 传输 。 

在 参考 文献 [RODR06] 中 提出 的 容错 时 钟 同 步 服务 的 灵感 来 自 于 TTCAN 
状态 2， 但 是 它 的 主要 目的 是 克服 前 面 提 到 的 解决 方案 的 缺点 。 它 还 需要 使 用 专 
门 的 硬件 元 素 : 所 谓 的 时 钟 单元 ,但 它 可 以 与 任何 CAN 控制 器 兼容 。 时 钟 单元 
大 大 提高 了 可 实现 的 精度 ( ~4hs)， 并 减少 了 每 轮 必 要 的 信息 数量 。 这 个 解决 
方案 遵循 主 从 计划 ， 似 乎 是 在 低 成 本 分 布 式 艇 入 式 系统 时 钟 同步 的 首选 模 
式 LEEE1588] ， 为 了 避免 单 点 故障 ， 它 也 依赖 于 主 节 点 复制 。 此 外 ， 该 解决 方案 引 
和 人 了 若干 容错 机 制 ， 在 广泛 的 信道 和 节点 故障 上 执行 所 需 的 时 钟 精度 ， 包 括 不 一 
致 遗漏 和 复制 。 这 些 机 制 的 正确 性 已 通过 模型 检查 得 到 正式 的 验证 。 


























6.8 结论 











汽车 制造 商 追 求 更 高 水 平 的 创新 和 严格 要 求 ， 产 生 了 对 汽车 灵活 架构 越 来 越 
浓厚 的 兴趣 ， 该 架构 从 功能 上 可 以 区 分 为 底层 控制 、 计 算 和 通信 和 架构， 从 而 简化 
了 整个 汽车 设计 。 然 而 ， 它 在 所 有 供应 链 上 施加 了 一 个 强大 的 集成 工作 影响 ， 比 
如 要 求 开 发 和 使 用 开放 标准 [如 汽车 开放 系统 架构 (AUTOSAR) ] 和 其 他 模块 
化 的 软件 设计 方法 〈 如 基于 组 件 的 设计 ) 。 

在 网 络 层面 ， 目 前 的 趋势 是 使 用 具有 骨干 互联 多 个 子 网 的 层次 式 方法 ， 其 中 
每 个 子 网 致力 于 一 个 主要 的 汽车 子 系统 ， 即 底盘 、 动 力 总 成 、 线 控 、 车 映 和 娱 
乐 。 这 允许 实现 子 系统 之 间 的 高 度 隔 离 ， 从 而 减少 了 相互 干扰 ， 并 人 允许 使 用 不 同 
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的 网 络 技术 ， 且 性 价 比 高 ， 适 应 于 每 一 种 情况 。 事 实 上 ， 这 些 子 系统 在 处 理 容 
量 、 确 定性 和 可 靠 性 方面 ， 表 现 出 不 同 的 需求 。 因 此 ， 网 络 层面 临 的 挑战 就 是 提 
供 所 需 的 灵活 性 以 及 正确 的 工艺 和 技术 ， 实 施 必 要 的 属性 ， 以 满足 最 低 成 本 的 
需求 。 

CAN 是 一 个 众所周知 和 广泛 使 用 的 成 熟 技术 ， 它 支持 相对 较 低 成 本 的 高 灵 
活性 、 确 定性 和 处 理 容 量 ， 并 似乎 满足 上 面 提 到 的 子 网 水 平 。 然 而 ， 它 仍然 呈现 
出 一 些 的 局 限 性 ， 特 别 是 关于 可 靠 性 ， 加 大 了 人 们 对 CAN 能 和 否 提供 例如 对 安全 
性 要 求 苛刻 的 应 用 程序 的 支持 的 怀疑 。 

在 这 一 章 ， 我 们 已 经 解决 了 CAN 这 些 局 限 性 ， 包 括 所 谓 的 不 一 致 的 通信 场 
景 ， 通 常 是 指 障 人 得 可 靠 性 ; 以 及 最 近 开发 的 技术 来 克服 或 减少 这 样 的 限制 。 我 们 
也 提出 了 一 些 技术 、 协 议和 基于 CAN 的 架构 ， 在 某 些 方面 改善 了 原 协 议 的 可 靠 
性 ， 但 仍然 维持 一 个 高 水 平 的 灵活 性 。 这 些 技 术 、 协 议和 架构 为 : (Re) CAN- 
centrate, CANELy, FTT - CAN 和 FlexCAN。 而 (Re) CANcentrate 主要 在 物理 和 
数据 链接 层面 操作 ; CANELy 主要 关注 数据 链接 问题 和 部 分 更 高 的 层面 ; FTT - 
CAN 和 FlexCAN 是 两 个 较 高 层面 的 协议 ， 它 们 在 COTS CAN 控制 咒 上 运行 。 最 
后 ， 我 们 也 包括 引用 其 他 一 些 协议 /服务 ， 它 们 和 可 靠 性 与 灵活 性 的 主题 有 些 相 
关 。 其 中 ，TTCAN 、TCAN 、ServerCAN 和 容错 时 钟 时 域 同 步 关 注 时 域 中 的 故障 ， 
而 在 参考 文献 [SHOR07] 中 提出 的 通信 容错 时 间 触 发 方案 ， 通 过 利用 信道 元 余 
提高 了 CAN 通信 的 可 靠 性 。 

以 上 这 组 技术 为 网 络 解决 方案 提供 了 可 变 水 平 的 可 靠 性 ， 同 时 仍然 保持 一 定 
程度 的 原始 CAN 协议 的 灵活 性 ， 能 充分 应 对 当前 对 灵活 汽车 架构 的 追求 。 此 外 ， 
我 们 相信 和 辅 以 本 章 讨论 的 适当 的 技术 ，CAN 也 足以 支持 要 求 最 苛刻 的 子 系统 ， 
WER, DIAR, KIKE, EFRR, 且 成 本 大 大 低 于 其 他 替代 品 ， 如 
TTP/C 和 FlexRay, 
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7.1 简介 


介绍 及 管理 产品 线 的 必要 性 对 汽车 工业 来 说 一 点 也 不 新 鲜 。 最 初 的 汽车 产品 
线 的 复杂 性 主要 是 通过 机 械 变化 来 驱动 ， 也 就 是 在 整个 产品 系列 中 最 大 化 普通 机 
械 零 件 的 复 用 。 任 何 机 械 变 体 数量 的 减少 不 仅 会 降低 开发 和 生产 成 本 ， 而 且 通 过 
减少 备件 部 分 类 型 数量 ， 通 过 简化 诊断 与 维修 ， 降 低 生命 周期 汽车 售后 阶段 的 成 
本 。 通 常 ， 用 户 可 见 的 变化 在 工业 上 是 相对 有 限 的 ， 且 主要 关心 的 是 用 户 可 见 
的 、 机 械 零 件 的 非 技 术 性 部 分 ， 例 如 ， 颜 色 和 材料 的 纹理 。 提 供 的 汽车 电子 相关 
技术 变化 的 选择 形式 相对 较 少 ， 例 如 ， 自 动 档 与 手动 档 变速 器 、 不 同类 型 的 发 
动机 。 

在 过 去 的 10 年 里 及 未 来 至 少 另 一 个 10 年 里 ， 由 于 汽车 软件 的 出 现 ， 汽 车 工 
业 将 经 历 彻底 改变 。 汽 车 电子 已 经 成 为 创新 的 主要 源头 。 软 件 的 使 用 带 来 了 不 同 
功能 的 数量 与 复杂 性 极 大 地 增加 。 此 外 ， 在 汽车 生命 周期 的 所 有 阶段 ， 软 件 带 来 
了 根本 的 变化 。 例 如 ， 已 经 变 得 司空 见 惯 的 事情 是 ， 为 了 消除 一 些 问题 ， 在 一 个 
修理 车 间 里 简单 更 换 一 个 或 多 个 电 控 单 元 (ECU) 上 的 软件 。 

这 一 发 展 的 低迷 是 软件 的 灵活 性 和 软件 的 无 处 不 在 带 来 了 可 变 工件 数量 爆炸 
式 增 加 。 这 不 仅 涉及 客户 可 见 的 变异 ， 而 且 涉 及 所 有 小 的 技术 变化 。 一 般 来 说 ， 
一 些 传感器 、 执 行 器 或 ECU 的 软件 的 任 一 部 分 发 生 任 一 变化 时 ， 就 会 带 来 新 的 
变 体 部 分 ， 它 们 在 接口 处 有 不 同 的 行为 。 不 仅 是 组 件 改变 了 ， 而 且 功能 本 身 也 发 
生 了 变化 ， 以 及 与 这 些 功 能 〈 例 如， 测试 和 诊断 ) 相关 的 任意 工件 的 改变 。 这 
些 情 形 下 的 帮助 ， 必 须 来 目 几 个 方面 ， 其 中 一 个 主要 的 方面 就 是 日 益 增 长 的 标准 
化 〈 如 这 本 书 中 的 一 些 章节 所 描述 的 ) ; 然而 ， 这 核心 的 改善 必须 来 自 整 体 产品 
线 的 方法 学 ， 它 允许 优化 可 变 技术 工件 数量 ， 从 而 允许 适应 客户 可 见 的 变化 ， 这 
是 目前 市 场 形势 所 需要 的 。 

目前 ， 没 有 这 样 的 方法 可 用 ; 然而 ， 在 软件 领域 ， 产 品 线 存 在 几 个 新 兴 
术 ， 它 们 可 以 形成 这 样 技术 的 一 部 分 。 在 这 一 童 中 ， 我 们 提出 了 一 个 基本 的 方法 
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论 框架 ， 我 们 认为 它 适用 于 汽车 电子 产品 的 产品 线 ， 在 这 样 的 框架 背景 下 ， 我 们 
刻画 、 展 示 和 讨论 选择 的 技术 。 


7.2 汽车 产品 线 特性 


我 们 这 里 呈现 的 方法 论 的 框架 本 和 映 是 基于 软件 产品 线 工程 通用 术语 和 概念 。 
为 了 使 本 章 更 加 完备 ， 我 们 首先 简要 介绍 这 些 概念 (7. 2. 1 节 ) 。 然 后 我 们 继续 
讨论 汽车 电子 产品 的 特性 (7.2.1 节 )。 


7.2.1 软件 产品 线 基本 概念 


每 当 一 个 公司 在 开发 几 种 产品 时 ， 它 们 既 有 许多 共同 的 特征 ， 也 表现 出 一 定 
的 实质 性 的 差异 ， 可 以 考虑 这 些 产 品 面向 产品 线 的 开发 0?3Y05] 。 当 遵循 这 
样 一 种 方法 时 ， 单 个 产品 不 再 独立 于 其 他 产品 开发 ， 相 反 ， 研 发 的 是 单一 的 、 但 
是 可 变 的 产品 〈 也 称 为 产品 线 基 础 设施 ) 。 从 这 个 可 变 产 品 出 发 ， 实 际 产品 〈 也 
被 称 为 产品 实例 ) 可 以 根据 配置 导出 。 这 意味 着 如 果 它 们 的 内 容 从 产品 变化 到 
产品 ， 那 么 所 有 的 开发 产品 [例如 ， 需 求 文档 、 部 件 图 、MATLAB (ML) /Sim- 
ulink (SL) 模型 ， 测 试 案例 描述 ] 可 以 变化 的 形式 来 定义 。 这 通常 是 通过 添加 
变化 点 到 其 中 ， 并 对 它们 中 的 每 一 个 定义 几 个 变 体 来 实现 。 

软件 产品 线 概念 和 面向 产品 线 的 研发 将 在 7. 3. 1 节 中 详细 介绍 。 


7.2.2 有 关 产 品 线 工 程 的 汽车 电子 的 特性 与 需求 


现在 ,我 们 将 讨论 汽车 领域 的 特点 和 需求 (参见 参考 文献 [ Gri03])， 它 们 
与 产品 线 工程 方面 相关 。 这 些 特征 可 分 为 : 变异 的 领域 、 产 品 配置 和 过 程 相 关 的 
特征 。 

7.2.2.1 变异 性 

7.2.2.1.1 变异 性 的 来 源 

汽车 电子 的 产品 和 产品 研发 制品 的 高 变化 度 存 在 几 个 来 源 : 

。 在 主要 市 场 及 其 他 市 场 〈 例 如 欧盟 、 美 国 、 日 本 ) 存在 的 不 同 客户 的 需 
包括 功能 和 价格 。 

© 在 车 身 变 异体 (例如 豪华 轿车 、 旅 行车 ) 和 传动 系统 变异 体 之 间 所 需 的 
功能 和 应 用 程序 约束 的 差异 性 。 

。 不 同 国家 或 市 场 之 间 的 制度 和 法 律 约束 的 差异 。 这 些 规定 和 限制 越 来 越 
多 地 影响 着 功能 。 

。 新 客户 的 期 望 ， 以 及 起 源 于 工业 领域 中 、 得 到 最 好 部 分 控制 的 汽车 工业 
的 新 技术 标准 。 这 里 的 主要 案例 是 通信 和 娱乐 。 
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由 于 这 些 原因 ,今天 的 豪华 汽车 开发 项 目 是 基于 一 套 功 能 套件 ， 它 包括 几 千 
项 技术 功能 。 基 于 以 上 标准 ， 这 些 功 能 需要 选择 或 取消 选择 。 

这 种 可 变性 是 在 详细 的 规范 、 设 计 模 型 、 实 施 和 测试 结果 水 平 上 的 进一步 提 
高 。 这 种 变异 部 分 来 自 功 能 的 变化 ， 部 分 来 自 不 同 的 实现 变 体 ， 例 如 由 传感器 和 
执行 器 的 变 体 引起 的 。 

这 种 情况 就 意味 着 需要 支持 项 目的 工具 ,该 工具 要 具有 高 度 复杂 的 变异 模 
型 。 此 外 ， 在 产品 设置 过 程 中 ,需要 支持 成 组 、 并 透明 地 管理 大 量 决 策 的 
概念 [KKL +98 | 5 

7.2.2.1.2 产品 之 间 复 杂 的 依赖 关系 

在 汽车 领域 ,支持 变异 体 之 间 诸 如 “需要 ”和 “排除 ”的 关系 非常 重要 。 
这 些 依 赖 关 系 存在 不 同 的 来 源 : 它们 可 能 来 自 于 管理 决策 ， 它 们 可 以 基于 逮 辑 事 
实 ( 例 如， 一 个 没有 后 窗 的 配送 车 辆 不 需要 后 刊 水 器 )， 或 者 它们 可 能 起 源 于 对 
设计 和 实施 水 平 的 依赖 (例如, 不同 的 显示 变 体 对 提供 的 功能 与 操作 功能 的 人 
机 界面 ， 具 有 深远 的 影响 ) 。 一 些 依 赖 关 系 需 要 明确 的 定义 (例如 在 一 个 特征 模 
型 中 ) ， 而 其 他 一 些 依赖 关系 可 以 来 自 于 更 详细 的 规定 或 设计 模型 ( 比如， 通过 
适当 定义 的 规则 ) 。 这 里 的 困难 是 : 为 了 在 产品 配置 期 间 做 出 正确 的 决策 ， 要 决 
定 哪 一 个 依赖 关系 需要 推导 。 

管理 中 心 位 置 的 所 有 依赖 关系 (定义 的 和 派生 的 ) 而 无 须 手工 重新 定义 派 
生 的 依赖 关系 是 必要 的 。 相 反 ， 派生 依赖 关系 应 该 选择 可 见 ， 并 加 上 对 它们 的 显 
ARUBA TE LAE » oe a 逻辑 一 致 性 分 析 ， 如 
果 缺 少 这 一 条 的 话 ， 这 会 妨碍 产品 配置 的 有 效 性 ;， 基 于 依赖 关系 的 对 象 分 析 ， 需 
要 添加 到 变 aa ee 

7.2.2.1.3 蜡 质变 异 机 制 的 合作 

我 们 已 经 表明 了 在 产品 开发 过 程 中 变异 的 来 源 。 在 汽车 领域 , 需要 在 整个 生 

命 周 期 中 控制 变异 : 在 开发 工具 链 中 ; 在 生产 数据 库 中 ; 在 营销 系统 中 ; 和 在 售 
后 服务 系统 比如 诊断 和 软件 更 新 系统 中 。 

目前 针对 具体 过 程 方面 行 之 有 效 的 工具 包括 例如 需求 管理 或 功能 建 模 。 这 种 
工具 有 时 提供 务实 的 生长 机 制 来 支持 变化 。 这 意味 着 ,需要 一 种 综合 的 方法 来 支 
持 工 程 ， 在 不 同 的 流程 步 又 中 ， 采 用 不 同 的 变异 机 制 。 在 对 接 这 些 机 制 时 ， 为 了 
避免 组 合式 爆炸 ， 在 具体 流程 步骤 和 中 心 变异 模型 之 中 的 变异 体 信 息 之 间 和 需要 定 
义 一 个 接口 。 

7.2.2.1.4 针对 变异 体 的 不 同 观点 

一 种 面向 产品 线 的 开发 方法 需要 支持 变异 概念 ， 它 不 仅 与 工程 相关 ， 而 且 也 
与 管理 、 市 场 营 销 、 生 产 、 采 购 和 销售 、 客 户 相 关 。 然 而 ， 涉 及 的 不 同 的 参与 者 
和 活动 导致 了 不 同 的 需求 和 期 望 。 例 如 ， 开 发 工程 师 需 要 一 个 比 管理 者 要 求 的 更 
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细 粒 度 的 特征 模型 。 此 外 ， 在 实现 决策 层面 变异 性 的 变化 一 般 不 必 做 得 让 营销 和 
销售 人 员 可 见 。 另 一 个 案例 是 变异 性 包装 ， 目 的 在 于 减少 客户 在 配置 过 程 中 的 决 
策 量 ， 或 在 于 强调 给 客户 一 定 的 功能 组 合 。 因 此 ， 很 明确 的 是 ， 产 品 线 的 工具 需 
要 提供 和 管理 对 产品 线性 能 和 变异 的 广泛 观点 。 

7.2.2.2 产品 配置 

7.2.2.2.1 复杂 配置 

产品 配置 不 仅 出 现在 最 终 产品 上 ， 而 且 也 出 现在 许多 中 间 样 机 上 ， 这 些 样 机 
是 概念 评价 、 系 统 集成 和 测试 所 需要 的 。 通 常 在 人 研发 过 程 中 ， 第 一 个 样机 是 一 辆 
基本 配置 汽车 ， 然 而 ， 这 个 基本 配置 通常 是 要 变化 的 。 对 于 这 样 的 决定 ， 产 品 线 
的 工具 支持 能 够 检查 针对 变化 点 之 间 的 所 有 依赖 关系 是 至 关 重 要 的 。 在 汽车 领 
域 ， 这 些 依赖 关系 对 于 人 工 检查 来 说 ， 已 经 变 得 太 复 杂 了 。 

7.2.2.2.2 随时 间 变 化 的 复杂 精度 

在 汽车 软件 开发 领域 ， 变 异 捆绑 在 产品 生命 周期 的 不 同 阶段 ， 例 如 ， 基 本 特 
征 是 选择 在 开发 阶段 ， 国 家 代码 是 绑 定 在 生产 阶段 ， 额 外 的 预 装 软件 功能 可 以 在 
售后 阶段 激活 。 工 具 必 须 支 持 这 些 不 同 约束 力 时 间 的 变化 点 。 

7.2.2.3 与 流程 有 关 的 特性 与 需求 

7.2.2.3.1 域 和 产品 工程 流程 没有 干净 的 分 离 

与 传统 的 软件 工程 领域 常见 做 法 相反 ， 汽 车 领域 的 研发 工程 几乎 不 惜 一 切 代 
价 要 保持 它们 的 最 后 期 限 ， 和 否则 由 于 开发 、 生 产 、 销 售 和 汽车 原始 设备 制造 商 
(OEM) 的 营销 基础 设施 的 缘故 ， 成 本 将 大 幅 上 升 。 因 此 ， 开 发 项 目 有 时 被 迫 减 
少 甚至 很 晚 才 取消 计划 的 功能 ， 或 为 一 个 单一 的 产品 线 实施 特定 的 权宜 之 计 的 解 
决 方案 ， 以 应 付 技术 难点 或 保证 高 水 平 的 质量 。 

以 上 情况 被 以 下 实际 情形 搞 得 进一步 复杂 化 ， 这些 和 车 型 相关 的 特定 的 解决 
方案 违背 了 最 初 的 计划 一 一 有 时 采用 了 这 种 车 型 未 来 几 代 车 上 的 技术 方案 ， 甚 至 
采用 了 其 他 车 型 上 的 技术 方案 ， 因 此， 这 些 方案 可 以 成 为 新 的 标准 的 解决 方案 。 
在 大 多 数 情 况 下 ， 如 果 这 会 发 生 的 话 ， 它 是 不 可 能 提前 预测 的 。 相 反 ， 特 定 的 权 
宜 之 计 有 时 是 为 了 与 原先 预定 的 解决 方案 竞争 。 

虽然 贯穿 所 有 开发 工程 的 严格 复 用 是 可 取 的 ， 但 从 严格 意义 上 说 ， 把 它们 组 
织 成 单一 产品 线 实 际 上 是 不 可 能 的 。 相 反 ， 我 们 需要 能 够 制定 整个 产品 线 的 常用 
策略 ， 它 允许 各 部 门 负责 产品 系列 的 一 部 分 一 一 比如 梅 赛 德 斯 - 奔驰 e 级 车 电子 
平台 一 一 在 一 定 程度 上 (允许 ) 偏离 该 级 车 一 部 分 。 在 汽车 领域 的 产品 线 的 方 
法 和 工具 必须 提供 这 样 的 局 部 偏差 的 支持 ， 同 时 要 促进 产品 线 为 导向 的 开发 主要 
目标 ， 即 技术 构件 严格 的 复 用 最 大 化 。 

7.2.2.3.2 与 供应 商 同 步 的 战略 

汽车 OEM 面临 着 有 必要 把 大 量 供应 商 的 隐秘 产品 线 策略 整合 为 自己 的 产品 
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线 策略 。 通 常 供应 商 的 产品 线 的 进化 完全 正 交 于 制造 商 的 产品 线 ， 因 为 供应 商 是 
用 以 往 不 同 的 战略 与 几 个 生产 商 接触 。 当 这 个 挑战 是 不 容 忽 视 时 ， 产 品质 量 和 成 
本 在 相当 大 的 程度 上 就 是 负面 影响 。 因 此 ， 产 品 线 工 程 的 方法 和 工具 ， 提 供 整合 
多 个 独立 开发 的 下 属 产品 线 的 手段 是 必需 的 ， 也 就 是 说 ， 把 那些 供应 商 整合 到 一 
个 更 高 层次 的 产品 线 ， 该 产品 线 的 制造 商 没有 披露 所 有 的 机 密 细节 需要 。 

7.2.2.3.3 与 变化 的 管理 流程 同步 

当前 变更 管理 流程 必须 调整 到 一 个 面向 产品 线 的 研发 。 汽 车 产品 线 的 方法 和 
工具 必须 提供 支持 用 于 复杂 的 变更 管理 。 特 别 的 是 ， 它 必须 能 够 揭示 产品 线 的 战 
略 变化 对 成 本 和 进度 的 影响 ， 必 须 能 够 把 这 些 变化 推进 到 受 影 响 的 研发 产品 上 ， 
并 相应 地 修改 它们 。 

7.2.2.3.4 非常 困难 的 增 量 导入 

一 步 一 步 引入 产品 线 的 方法 、 过 程 和 工具 ， 在 许多 领域 中 是 必要 的 。 但 是 ， 
这 对 汽车 领域 是 特别 真实 ， 且 逐步 引入 的 先决 条 件 在 这 里 是 特别 复杂 的 。 汽 车 系 
统 的 寿命 已 经 给 出 这 个 问题 的 缘由 : 一 代 高 级 车 型 的 生命 周期 通常 包括 3 年 的 研 
发 、6 年 的 生产 和 销售 ， 以 及 15 年 的 运行 、 维 护 和 客户 服务 。 因 为 与 遗留 系统 
的 兼容 性 必须 遵守 ， 所 以 其 至 某 一 车 型 的 子 系统 不 能 被 集成 到 一 个 产品 线 基础 的 
一 个 步骤 中 。 相 反 ， 自 底 向 上 的 方法 更 现实 : 首先 ， 规 模 小 且 局 部 化 的 产品 线 设 
置 为 选 定 的 子 系统 〈( 例 如 ， 刮 水 器 或 空调 ) ， 或 甚至 设 定 为 单个 研发 产品 (H 
如 ， 需 求 模块 或 一 组 测试 案例 ) ; 在 下 一 步骤 中 ， 它 们 将 被 集成 到 一 个 更 大 的 、 
更 高 层次 的 子 域 产品 线 ， 比 如 通信 、 车 身 电子 或 发 动机 控制 。 然 后 ， 它 们 将 进 一 
步 整 合成 一 个 完整 车 型 的 综合 产品 线 。 方 法 和 工具 必须 允许 用 自 底 向 上 的 方式 ， 
逐步 介绍 产品 线 技术 。 


7.3 BAKE 


在 下 一 节 讨 论 汽车 产品 性 整体 结构 及 在 后 面 的 7.5 节 描 述 如 何在 各 种 类 型 的 
开发 产品 中 定义 可 变性 之 前 ， 我 们 先 在 本 节 介 绍 基 本 术语 和 软件 产品 线 的 概念 。 
我 们 先进 行 这 一 术语 的 介绍 及 软件 产品 线 和 变异 性 的 讨论 (7.3.1 节 和 7.3.2 
节 ) ， 接 着 概述 特征 建 模 作 为 可 变性 建 模 的 一 种 特殊 形式 ， 并 总 结 了 软件 产品 线 
方法 和 流程 关键 特征 的 概述 。 


7.3.1 软件 产品 线 


即使 不 存在 一 个 普遍 接受 的 软件 产品 线 的 定义 ,但 是 在 过 去 的 十 年 里 ， 对 它 
含义 的 研究 与 实践 取得 了 相当 统一 的 共识 。 因 此 ， 与 早先 的 对 这 个 术语 的 理解 相 
比 ， 可 以 观察 到 对 软件 产品 线 研究 焦点 的 一 个 有 趣 转 变 。 为 了 简要 说 明 这 点 ， 我 
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们 在 这 里 介绍 两 个 最 有 影响 力 的 定义 。 

在 1976 年 ，David L. ParnasLPar76] 首创 了 软件 产品 线 一 词 ， 其 定义 如 下 : 

每 当先 通过 研究 这 组 方案 的 公共 性 质 ， 接 着 确定 各 个 成 员 的 特殊 属性 ， 值 得 
根据 这 组 方案 研究 计划 时 ， 一 组 方案 就 构成 了 一 个 产品 线 。 

值得 注意 的 是 ， 只 有 这 样 的 软件 产品 才能 形成 软件 产品 线 ， 它 具有 一 定 程度 
的 通用 性 ， 同 时 它 又 表现 出 很 大 的 差异 性 。 这 种 组 合 的 共性 和 可 变性 是 软件 产品 
线 的 关键 特征 。 而 何 种 程度 的 通用 性 是 必须 清楚 的 问题 ， 是 为 了 能 够 应 用 面向 产 
品 线 的 开发 方法 是 最 重要 的 领域 问题 之 一 ， 且 是 困难 的 (问题 )。 如 果 产 品 之 间 
有 太 多 的 不 同 ， 那 么 对 于 从 此 方法 获得 巨大 效益 来 说 ， 把 它们 作为 一 个 单一 产品 
线 成 员 来 描述 的 成 本 太 高 。 

Parnas 提出 根据 具有 明确 定义 接口 的 可 复 用 的 模块 或 组 件 ， 构 成 它 的 各 个 产 
品 来 管理 产品 线 ， 从 而 设 定 了 未 来 数 十 年 的 研究 方向 。 从 今天 的 角度 来 看 ， 这 种 
早期 的 方法 对 产品 线 的 发 展 来 说 ， 可 以 称 之 为 “经 典 ” 或 “常规 ”的 复 用 方法 。 
以 上 提 及 的 关注 点 的 转变 出 现在 20 世纪 90 年 代 早 期 ， 这 体现 在 以 下 Clements 和 
Northrop 的 定义 中 [CNO] , 

软件 产品 线 是 一 组 软件 产品 […… ] ， 它 是 根据 一 套 通用 的 核心 价值 ， 以 规 
定 的 方式 开发 的 。 

现在 ， 各 个 产品 不 再 是 














每 个 都 通过 组 合 可 复 用 部 件 来 进行 并 行 开 发 。 相 反 ， 
产品 是 来 自 一 种 单一 的 公共 产品 定义 一 一 产品 线 基础 〈 以 规定 的 方式 ) 。 它 替代 
了 独立 描述 每 一 个 产品 ， 它 只 有 一 个 单一 的 产品 线 描述 ， 以 及 各 个 产品 的 定义 是 
如 何不 同 于 此 原型 的 。 要 做 到 这 一 点 ， 如 果 它 们 的 内 容 从 一 个 产品 变化 到 男 一 个 
产品 ， 那 么 作为 产品 线 基础 (例如 ,需求 文档 、 组 件 图 、MLA SL 模型 、 测 试 案 
例 描述 ) 的 一 部 分 的 所 有 开发 产品 ， 是 以 变化 的 形式 定义 。 那 么 ,根据 这 个 基 
础 派生 的 各 个 产品 则 简称 为 产品 实例 ， 或 简单 称 为 产品 线 的 产品 。 

产品 线 的 方法 与 传统 的 复 用 之 间 的 差异 如 图 7.1 所 示 。 在 传统 的 复 用 情况 
中 ， 仍 存在 针对 每 个 产品 的 一 个 完整 的 系统 描述 ， 即 使 这 些 描述 是 由 可 重复 使 用 
的 部 分 构成 的 〈 参 见 图 7. 1b) 。 针 对 每 个 产品 独立 定义 了 如 何 组 合 复 用 的 产品 。 
这 不 是 面向 产品 线 的 研发 情况 : 它 定义 了 只 有 一 个 变量 的 系统 描述 (参见 图 
T.1c). 

总 之 ,我 们 可 以 定义 的 一 个 软件 产品 线 概念 如 下 : 

软件 产品 线 是 一 组 具有 一 定 共性 的 软件 产品 ， 同 时 也 表现 出 很 大 的 差异 ， 且 
这 来 自 于 一 个 单一 的 、 可 变 的 产品 定义 一 一 产品 线 基 础 ， 以 明确 规定 的 方式 。 

有 时 术语 软件 家 族 作为 一 个 软件 产品 线 的 同义词 。 我 们 喜欢 认为 一 个 软件 家 
族 是 一 个 非常 复杂 的 软件 产品 线 ， 它 可 能 由 几 个 小 的 软件 产品 线 组 成 。 例 如 ， 梅 
赛 德 斯 - 奔驰 C 级 车 C320 是 一 个 典型 的 产品 线 ， 而 所 有 梅 赛 德 斯 - 奔驰 车 ， 乘 
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用 车 以 及 商用 车 ， 共 同形 成 一 个 产品 家 族 。 有 时 产品 种 群 也 被 提出 来 表示 这 种 复 
林产 品 线 [v000]。 

在 这 一 点 上 ， 我 们 只 考虑 软件 的 产品 线 ， 坚 持 着 传统 的 产品 线 的 术语 应 用 于 
软件 工程 共同 体 。 然 而 ， 在 汽车 领域 ， 我 们 通常 不 会 遇 到 纯 的 软件 产品 ， 而 要 处 
理 软件 /硬件 系统 ， 其 中 软件 是 嵌入 在 一 个 硬件 环境 中 ， 它 也 受到 整体 研发 活动 
的 影响 。 为 了 反映 这 一 点 ， 我 们 简单 地 用 “软件 密集 型 系统 ”或 简单 的 “系统 ” 
取代 以 上 定义 的 术语 “软件 ”， 因 此 我 们 就 谈 到 了 软件 密集 型 系统 的 产品 线 / 家 
族 ， 或 简称 系统 的 产品 线 / 系 统 家 族 。 

产品 的 独立 研发 
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面向 产品 线 的 研发 
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图 7.1 面向 产品 线 研 发 的 比较 











7.3.2 变异 性 


变异 性 主要 是 指 发 生 在 比较 产品 线 的 产品 实例 时 对 彼此 的 差异 。 换 句 话 说， 
只 要 产品 实例 在 硬件 或 软件 的 某 一 方面 (或 两 者 ) 与 男 一 个 不 同 ,我 们 就 认为 
这 是 产品 线 范围 内 的 变异 性 ， 而 这 些 硬 件 或 软件 方面 对 所 有 产品 实例 来 说 是 相同 
的 ， 被 视 作 通用 性 。 为 了 说 明 这 一 点 ， 让 我 们 考虑 下 面 的 案例 9 : 

案例 : 

一 个 手机 产品 线 包 括 三 种 模型 : S (简单 )、M (中 级 ) 和 (高 级 ) SAR 
白 显 示 屏 ， 而 其 他 手机 模型 有 彩色 显示 屏 。 只 有 A 模型 对 T9 支持 (一 种 先进 的 












































O 在 下 面 更 详细 的 案例 中 ， 我 们 将 集中 在 汽车 领域 ， 我 们 从 这 里 不 同 的 域 中 ， 选 择 了 一 个 案例 。 
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文本 输入 模式 ) 。 所 有 的 模型 都 具有 相同 的 一 百 万 像素 的 摄像 头 (供应 商 X)。 
所 有 三 个 手机 模型 都 是 三 频段 设备 ， 也 就 是 它们 可 以 在 全 球 移动 通信 系统 
(GSM) 中 通信 ， 频 带 为 900 兆赫 、1800 兆赫 和 1900 兆赫 。 相 机 和 它们 的 分 辩 
率 是 一 个 明显 的 共性 案例 。 两 种 形式 的 显示 屏 和 只 由 模型 A 支持 的 T9 构成 了 我 
们 产品 线 范围 内 的 变异 性 。 在 考虑 显示 屏 的 情况 下 ， 这 种 变异 性 影响 了 硬件 ， 软 
件 也 可 能 受到 影响 ， 而 在 其 他 情况 下 ， 只 有 软件 受到 影响 ， 因 为 Te 是 纯 软 件 的 
特征 (这 里 我 们 不 考虑 手机 按钮 的 标签 ) 。 

与 变异 性 相关 的 另 一 个 重要 概念 是 绑 定 时 间 。 变 异性 可 以 解决 〈 或 绑 定 ) 
在 开发 、 生 产 和 后 期 制作 的 不 同时 间 点 。 例 如 ， 显 示 变 异性 必须 在 生产 之 前 绑 
定 ， 因 为 它 必须 清楚 黑白 或 彩色 显示 屏 是 否 内 置 。T9 支持 的 变异 性 可 以 刚好 在 
生产 后 绑 定 一 一 通过 手机 软件 的 参数 化 (来 实施 ) 。 这 样 的 话 ， 相 同 的 软件 可 用 
于 手机 ， 带 和 不 带 T9 支持 ; 差异 性 的 取得 是 通过 后 期 制作 配置 来 实现 的 。 对 于 
产品 线 范围 内 的 每 一 个 变异 体 ， 绑 定时 间 可 以 是 不 同 的 。 

作为 一 种 特殊 的 情况 ， 也 可 以 在 运行 时 绑 定 变异 。 这 种 变异 被 称 为 运行 变异 
体 。 三 频段 功能 是 这 个 方面 的 案例 : 所 有 三 个 手机 模型 都 用 到 这 个 功能 ， 这 意 






















































































味 
着 它们 都 配备 了 能 够 使 用 上 面 提 及 的 GSM 三 个 频段 的 硬件 ， 并 使 用 软件 一 它 
可 以 选择 适当 的 频带 或 从 一 个 频段 切换 到 另 一 个 频段 (如果 有 必要 ) 。 因 此 ， 根 
据 上 面 变异 性 的 定义 ， 我 们 应 该 认为 这 是 通用 性 ， 因 为 硬件 和 软件 实现 三 频段 功 
能 在 所 有 三 个 手机 模型 上 是 相同 的 。 然 而 ， 实 际 上 存在 某 种 形式 的 变化 ， 因 为 用 
于 通信 的 CSM 频段 发 生 了 变化 。 运 行 时 的 变化 并 不 造成 产品 实例 的 硬件 或 软件 
的 不 同 ， 而 是 构成 了 产品 的 功能 ， 且 实际 上 是 一 个 通用 的 功能 。 产 品 线 工程 的 方 
法 的 不 同 点 在 于 他 们 是 否 把 运行 变异 性 视 作 产品 线 的 变异 性 。 处 理 运行 变异 性 的 
原理 就 像 普 通 变异 ， 唯 一 的 区 别 是 绑 定时 间 。 在 共性 /可 变性 分 析 的 早期 阶段 ， 
可 能 并 不 清楚 有 些 变异 性 要 在 运行 之 前 或 在 运行 时 绑 定 。 同 时 ， 对 一 些 模型 来 
说 ， 可 能 是 运行 变异 性 ， 但 对 其 他 模型 来 说 ， 可 能 是 普通 变异 。 简 而 言 之 ， 绑 定 
时 间 确 定 了 一 些 变异 性 是 否 通过 改变 产品 实例 的 硬件 或 软件 来 实现 (在 运行 时 
绑 定 ) ， 或 确定 它 是 否 必须 通过 产品 实例 的 一 个 特殊 的 、 共 同 功 能 (运行 时 乡 
定 ) 来 实现 。 
7.3.3 ”作为 可 变性 建 模 的 一 种 形式 的 特征 建 模 

一 般 来 说 ， 可 变性 建 模 瞄准 呈现 产品 线 共性 和 可 变性 的 一 个 概述 。 根 据 可 变 
性 建 模 形式 ， 通 用 性 要 么 只 能 间接 解决 ， 也 就 是 说 ， 一 切 没有 明确 定义 为 变量 的 
要 隐 式 定义 为 共性 的 ;通用 性 要 么 只 能 直接 解决 ， 也 就 是 说 ， 某 些 方面 明确 定义 
为 共性 的 ， 目 的 是 强调 它们 ， 并 记录 决定 、 使 它们 成 为 共性 的 。 为 了 强调 变异 性 
建 模 也 至 少 间接 解决 了 通用 性 这 个 事实 ， 有 时 更 喜欢 使 用 术语 共性 /可 变性 建 模 。 
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如 同 所 有 的 建 模 活动 的 情况 ， 可 变性 建 模 试图 通过 抽象 实现 其 目标 。 这 意味 
着 与 一 个 产品 线 变化 相关 的 整个 信息 的 一 些 方面 故意 被 排除 在 外 ， 以 把 信息 量 减 
少 到 可 控 水 平 ， 并 强调 重要 方面 ， 同 时 又 隐藏 不 必要 的 细节 。 

然后 在 一 个 变异 性 模型 中 捕获 的 信息 ， 作 为 在 组 成 产品 线 基础 范围 内 定义 可 
变性 的 基础 ， 并 作为 配置 各 个 产品 实例 的 基础 ， 从 基础 上 派生 出 可 变性 。 例 如 ， 
考虑 一 个 MLZ SL 模型， 其 中 某 确定 的 模块 B 必须 被 其 他 模块 B, 替换 ， 它 取决 
于 选 定 的 产品 实例 。 为 配置 各 个 产品 实例 〈 即 选择 和 定义 它们 ) 提供 基础 ， 并 
为 定义 何 时 B, 不 用 替换 就 可 使 用 以 及 什么 情况 下 需要 用 B, 替换 B, 提供 基础 ， 
是 产品 线 变异 性 模型 的 责任 。 如 何 进 行 的 细节 在 很 大 程度 上 取决 于 可 变性 建 模 技 
术 的 应 用 。 我 们 将 在 7.5 节 中 详细 描述 这 一 特征 模型 。 

大 约 可 以 区 分 三 种 形式 的 变异 性 建 模 模 型 : 特征 建 模 、 决 策 表 和 决策 树 / 图 。 
图 7. 2 显示 了 参考 文献 [MJA *04] 中 提出 的 一 个 决策 表 的 摘录 ， 它 是 德国 〈 凯 
泽 斯 劳 滕 ) Fraunhofer IESE 研究 的 PuLSE 方法 的 案例 研究 。 一 个 决策 表 通 常 是 
指 一 个 或 多 个 变量 的 研发 产品 ， 在 案例 中 ， 一 个 决策 表 是 一 个 用 例 图 ， 用 于 表示 
使 用 案例 “发 送 消息 ” (未 显示 )。 决 策 表 中 的 每 一 行 代表 一 个 要 采取 的 决定 ， 
以 配置 表 中 相应 变量 (S) 。 每 一 个 这 样 的 决定 有 : 

。 一 个 ID (例子 中 的 一 个 普通 的 数字 ) 。 

。 制定 应 采取 决策 的 问题 。 

e 用 于 从 语义 上 给 多 个 相关 决策 分 组 的 主题 。 

。 列 出 可 能 的 决议 ， 即 对 问题 可 能 的 答案 。 

。 每 个 决议 的 一 个 影响 ， 描 述 了 相应 的 变量 必须 如 何 改变 ， 以 配置 它们 与 
所 采取 的 决定 一 致 。 







































































结果 
手机 是 否 有 : 使 用 案例 步骤 6* 发 送 消息 "是 必须 的 
T9 支 持 ? 使 用 案例 扩展 6a* 发 送 消息 "是 必须 的 


ALLE RAER STE TN” EAS BR 














图 7.2 摘录 的 样本 决策 表 


在 决策 表 中 ， 每 列 的 数量 和 确切 含义 随 方法 而 变 ， 但 这 里 给 出 的 例子 说 明 
了 决策 表 的 基本 思路 。 约 束 是 决策 的 其 他 重要 特性 的 一 个 案例 。 使 用 约束 ， 可 以 
定义 决策 之 间 的 相互 依存 关系 ， 以 限制 取决 于 提前 采取 决策 的 可 用 的 决议 ， 或 当 
因为 一 些 更 早 采 取 的 其 他 决策 不 再 有 效 时 ， 隐 藏 决策 。 例 如 ， 如 果 决 定 “ 手 机 
有 照相 机 吗 ?” 得 到 的 回答 是 “没有 ”， 则 决定 “相机 的 分 辨 率 是 多 少 ?” 不 再 是 
有 效 的 ， 且 可 以 在 配置 中 隐藏 。 同 样 ， 决 策 表 的 决策 有 时 可 以 分 层 组 织 。 
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同样 ， 定 义 决 策 树 应 采取 的 决定 是 为 了 配置 一 个 或 更 多 的 变量 。 然 而 ， 决 策 
要 表示 出 来 ， 并 用 图 形 排列 。 图 7. 3 展示 了 这 样 一 个 决策 树 的 例子 。 决 策 树 的 优 
点 就 是 决策 之 间 的 一 些 选 择 的 依赖 关系 可 以 很 容易 地 以 这 样 的 方式 定义 。 例 如 ， 
决策 “相机 是 什么 分 辨 率 ?” 在 该 相机 被 拆 的 情况 下 是 无 效 的 ， 尽管 它 在 决策 树 
上 是 可 见 的 。 可 能 的 产品 配置 数量 也 很 容易 检测 到 ， 因 为 决策 树 的 每 一 叶 对 应 于 
一 个 产品 配置 。 然 而 ， 这 一 点 也 正 是 决策 树 的 一 个 重要 问题 。 在 复杂 情况 下 ， 决 
策 树 往往 变 得 非常 大 。 这 可 以 通过 使 用 定向 非 循环 图 〈 即 一 个 “ 树 ” 的 节点 可 
能 有 一 个 以 上 的 根 ) 来 避免 。 

在 这 一 章 给 出 的 汽车 产品 线 概述 的 其 余 内 容 中 ， 我 们 不 考虑 决策 表 和 决策 树 
的 更 多 细节 。 相 反 ， 我 们 将 集中 在 特征 建 模 ， 它 可 能 是 最 流行 的 变异 性 建 模 
形式 。 




















手机 是 否 有 照相 机 ? 
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T9 支 持 ? T9 支 持 ? 
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图 7.3 决策 树 案例 


7.3.3.1 什么 是 特征 ? 

在 详细 介绍 特征 建 模 之 前 ， 我 们 首先 给 出 对 特征 这 个 词 的 一 个 简短 讨论 ， 它 
是 所 有 特征 建 模 技 术 的 基础 。 当 我 们 谈 到 工程 师 和 从 业者 在 采用 特征 建 模 和 产品 
线 技术 的 早期 阶段 ， 我 们 通常 承认 有 相当 大 的 不 确定 性 ， 且 不 满意 特征 的 概念 和 
特征 建 模 。 主 要 的 批评 是 ， 特 征 一 词 具 有 非常 模糊 、 不 明确 的 含义 ， 或 在 汽车 业 
内 ， 对 特征 这 个 词 存在 很 多 不 同 的 理解 ， 甚 至 在 单独 一 个 公司 内 对 这 个 词 也 有 不 
同 理解 。 这 往往 导致 试图 为 特征 一 词 提 供 一 个 更 具体 的 、 特 定 的 含义 ， 例 如 ， 
“一 个 组 件 ”“ 一 项 功能 ”或 “用 户 可 见 的 功能 需求 ”。 虽 然 这 样 的 专业 或 分 类 
在 某 些 情况 下 可 能 具有 价值 ， 但 是 我 们 相信 在 一 般 的 、 公 司 层面 (甚至 超过 ) ， 
它们 是 非常 成 问题 的 ， 且 会 导致 滥用 特征 建 模 ， 这 是 由 于 术语 “特征 ”的 广泛 
含义 是 与 该 方法 的 强度 密切 相关 的 。 

就 像 一 般 的 可 变性 建 模 ， 特 征 建 模 也 是 瞄准 介绍 产品 线 产品 之 间 的 共性 和 可 
变性 的 概述 ， 并 有 瞄准 支持 产品 配置 。 但 与 决策 表 和 决策 树 / 图 相反 ， 特 征 建 模 并 
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不 关注 配置 过 程 中 所 采取 的 决策 ， 也 不 关注 对 变量 造成 的 影响 。 相 反 ， 特 征 建 模 
的 重点 直接 在 于 产品 线 各 个 产品 之 间 的 差异 和 相似 性 。 更 具体 地 说， 特征 模型 列 








出 各 个 产品 的 所 有 重要 特性 ， 并 说 明 这 些 特点 对 所 有 产品 是 否 常见 





也 就 是 每 


个 产品 和 每 一 种 产品 显示 出 给 定 的 特性 ; 或 特性 从 一 个 产品 到 男 一 个 产品 是 可 变 














的 


也 就 是 一 些 产 品 展示 出 这 一 特点 ， 而 男 一 些 产 品 则 没有 。 由 于 产品 之 间 存 


在 的 不 同 特性 ， 可 能 具有 非常 多 样 化 ， 所 以 我 们 需要 一 个 充分 抽象 的 术语 来 表示 
这 些 特征 ， 即 术语 “特征 ” 。 这 就 是 为 什么 它 是 这 样 一 个 广泛 意义 上 的 好 东西 。 











因此 ,术语 “ 
它 是 一 个 产品 线 的 每 个 产品 实例 可 能 拥有 或 不 可 能 拥有 的 。 
几 点 结论 归纳 如 下 : 








质 ， 


寺 征 ”可 以 定义 如 下 : 特征 是 特性 或 是 在 最 广泛 意义 上 的 特 





。 一 个 特征 是 可 以 存在 于 一 个 产品 实例 中 或 不 存在 。 这 意味 着 在 产品 配置 


中 ， 它 可 以 被 选择 或 它 被 取消 选择 。 











。 特征 并 不 一 定 对 应 于 一 个 子 系统 或 部 件 ( 特征 可 以 对 应 一 个 子 系统 ， 
“气候 控制 ”或 “ 防 抱 死 系统 ”; 但 这 并 不 是 必需 的 ， 例 如 ， 特 征 “ 低 能 





如 ， 
耗 ”) 。 

。 一 个 特征 不 需要 用 户 可 见 。 

。 一 个 特征 不 一 定 是 一 项 功能 要 求 。 








例 


总 之 ， 特 征 这 个 术语 的 极端 宽泛 性 是 由 于 特征 建 模 发 生 在 高 度 抽象 造成 的 。 











这 就 是 特征 建 模 的 力量 ， 和 否则 如 果 术 语 “ 
么 特征 建 模 将 无 法 达到 目的 。 
7.3.3.2 基本 特征 模型 














寺 征 ” 有 一 个 更 精确 的 含义 的 话 ， 那 


特征 模型 的 目的 是 用 一 个 图 形 化 的 形式 显示 产品 线 的 产品 实例 的 共性 和 可 变 











性 。 在 特征 树 形式 中 的 基本 特征 模型 是 由 Kang 等 [xc 901 介绍 的 。 图 7.4 








同 的 小 特征 树 例子 中 两 种 常见 的 符号 。 
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图 7.4 基本 特征 模型 的 两 个 替代 符号 的 案例 
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一 种 特殊 的 实体 ， 称 为 概念 。 但 最 近 它 变 得 不 再 受 欢迎 ， 因 为 它 引 入 了 一 种 没有 
真正 的 需要 的 特殊 情况 。 

寺 征 具有 层次 结构 : 先辈 特征 可 以 有 一 个 或 更 多 的 子 特 征 ， 用 线 从 先辈 连 到 
子 。 在 语义 层面 上 ， 这 意味 着 只 有 当先 辈 的 特征 是 存在 时 ， 一 个 子 特征 才 有 可 
能 。 因 此 ， 先 辈 - 子 的 关系 和 由 它们 导出 的 特征 树 的 层次 结构 可 以 被 视 为 特征 之 
间 的 一 个 特殊 的 符号 ， 这 是 对 于 一 些 但 不 是 所 有 的 依赖 关系 来 说 的 。 

需要 出 现在 所 有 的 产品 实例 (包含 它们 的 先辈 ) 中 的 子 特征 ， 称 为 强制 性 
村 征 ， 它 们 用 实 线 表 示 并 连 到 它们 的 先辈 或 实心 圆 上 (Aa, MKA) o EWE 
要 的 是 要 注意 到 ， 就 它们 出 现在 产品 线 所 有 产品 这 种 意义 而 言 ， 强 制 性 特征 并 不 
是 在 所 有 人 情况 下 是 强制 的 。 例 如 ， 刊 水 带 出 现在 所 有 产品 实例 中 ， 而 加 速 执行 如 
只 出 现在 有 巡航 控制 这 样 的 产品 中 〈 但 在 所 有 车 型 上 都 有 这 些 巡 航 控制 ) 。 作 为 
一 般 规则 ， 强 制 性 的 特征 是 通用 性 ， 即 它 是 出 现在 所 有 产品 实例 中 ， 当 且 仅 当 它 
的 所 有 祖先 因素 是 强制 性 的 。 相 反 ， 可 选 特征 是 只 在 菜 些 产品 实例 上 出 现 的 特 
性 ， 它 们 包含 它们 先辈 〈 的 特征 ) ， 因 此 在 配置 过 程 中 需要 直接 选择 或 取消 选 
择 。 它 们 用 虚线 表示 ， 并 连 到 先 者 或 一 个 空 的 圆 阅 上 〈 例 如， 巡航 控制 、 雷 达 、 
WEERA) 。 可 选 特征 从 来 不 代表 通用 性 。 此 外 ， 同 父 的 两 个 或 两 个 以 上 的 子 
特征 相互 排斥 被 称 为 备 选 特征 。 它 们 的 父子 关系 用 圆 弧 连接 〈 例 如 ， 简 单 和 自 
适应 是 两 种 刊 水 带 备 选 形 式 )。 准 确 地 说 ， 两 个 或 两 个 以 上 的 备 选 特征 必须 在 一 
个 产品 实例 中 存在 ， 当 且 仅 当 它 们 的 父辈 是 存在 的 。 因 此 ， 在 配置 过 程 中 ， 当 选 
择 了 父辈 时 ， 它 的 备 选 子 特征 之 一 必须 选择 。 

因此 ， 两 个 语义 相同 的 特征 模型 (图 7.4) 要 做 如 下 解释 :一 辆 车 总 是 有 刊 
Tae (或 称 为 雨刷 ) ， 并 可 以 选择 巡航 控制 。 乔 水 融 可 以 带 一 个 雨量 传 感 融 。 巡 
航 控制 总 是 需要 一 个 电子 执行 希 ， 为 的 是 能 够 影响 加 速度 。 存 在 两 种 备 选 形式 的 
巡航 控制 : 简单 巡航 控制 就 是 简单 地 保持 加 速度 在 一 个 恒定 值 ， 自 适应 巡航 控制 
就 是 保持 车 辆 速度 在 一 个 恒定 值 (例如 ， 当 车 子 开 上 和 斜坡 时 ， 通 过 增加 加 速度 
来 保持 车 速 ) 。 此 外 ， 该 车 可 配备 雷达 。 在 这 种 情况 下 ， 当 汽车 与 前 车 之 间 的 距 
离 低 于 一 定 的 浆 值 时 ， 和 车 辆 速度 会 降低 。 请 注意 ， 并 非 这 里 给 出 的 所 有 的 信息 被 
村 征 模型 所 捕获 ， 例 如 ， 先 进 的 巡航 控制 的 含义 并 不 明显 。 这 些 信息 将 在 一 个 特 
征文 本 中 描述 (图 中 未 表示 ) 。 

最 后 ， 特 征 之 间 的 额外 依赖 关系 可 以 特征 链接 形式 在 特征 树 中 定义 。 这 些 通 
常 有 助 于 进一步 约束 一 组 有 效 配 置 。 例 如 ， 如 果 雷 达 和 有 雨量 传感器 在 车 吴 内 使 用 
相同 的 安装 空间 ， 那 么 可 以 在 雷达 与 雨量 传感器 之 间 用 一 个 双向 箭头 定义 一 个 特 
征 链接 ， 并 用 标签 “排除 ”表示 。 特 征 建 模 技 术 有 很 大 的 区 别 : 在 于 它们 提供 
什么 类 型 的 依赖 关系 链接 ， 一 些 干脆 把 这 个 链接 打开 。 典 型 类 型 的 依赖 关系 有 
“排除 ”( 双 向 ) 和 “需要 ”( 单 向 ) 。 如 果 A HERB, 若 B 存在 ,那么 A 可 能 就 
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不 存在 ; 反之 亦 然 。 如 果 特 征 A 需要 特征 B, 若 B 缺失 则 A 可 能 不 存在 ; 但 没 
有 A 时 B 可 能 存在 。 其 他 特征 链接 在 配置 过 程 中 可 以 向 用 户 给 出 建议 ， 比 如 ， 
如 果 特 征 A“ 建 议 ”B， 则 这 意味 着 你 可 以 选择 A 而 没有 B， 但 你 应 该 有 一 个 好 





的 理由 去 做 这 些 。 





尽管 具有 共同 的 树 形式 ， 但 特征 树 与 决策 树 有 很 大 的 不 同 。 首 先 ， 节 点 代表 
寺 征 ， 其 中 产品 实例 彼此 不 同 ， 替 代 了 配置 过 程 中 需要 回答 的 问题 。 虽 然 竺 征 可 
以 被 解释 为 问题 〈 例 如， 特征 巡航 控制 可 以 解释 为 问题 “汽车 具有 巡航 控制 


Mh?” ) ， 但 这 才 是 真正 的 可 选 特征 。 

















第 二 ， 一 个 特征 树 结构 是 通过 说 明 每 个 特征 











是 否 被 选中 来 给 出 ， 而 一 个 决策 树 的 配置 是 通过 精确 选择 树叶 节点 (或 从 根 到 


叶 的 一 个 完整 路 径 ) 来 给 出 。 第 三 ， 





决策 树 定义 了 一 个 次 序 ， 其 中 决策 是 计划 








采取 的 ， 因 此 优化 了 决策 ， 它 对 约束 条 件 的 实际 效果 具有 显著 的 影响 。 
在 本 节 的 其 余部 分 ， 将 介绍 一 些 先 进 的 特征 建 模 的 概念 。 这 些 可 以 被 看 做 是 








对 基本 特征 建 模 的 一 个 可 选 扩 展 。 
7.3.3.3 基于 基数 的 特征 建 模 














基本 特征 建 模 的 一 个 重要 的 扩展 是 基于 特征 建 模 的 基数 。 根 据 这 种 方法 ， 每 
个 特征 都 分 配 一 个 基数 一 一 类 似 于 统一 建 模 语言 (UML) 类 图 基数 (例如 ， 
[0..1], [1], [0.. =+], [0..4, 8..12]), Æ% [0..1] 意味 着 相应 的 特征 是 
可 选 的 (例如 ， 图 7.5 中 的 巡航 控制 和 雷达 ) ，[1] 意味 着 特征 是 强制 性 的 ，1 
以 上 的 最 大 基数 意味 着 特征 可 能 不 止 一 次 出 现在 一 个 单一 的 产品 实例 中 。 同 父 的 























几 个子 特 征 可 分 在 一 组 特征 中 。 这 些 特征 组 也 有 一 个 基数 ， 它 说 明 对 应 组 有 多 人 少 
个 特征 必须 或 可 以 被 一 个 单一 产品 实例 所 选中 。 例 如 ， 一 组 基数 [1] 是 指 每 当 
它们 的 父辈 被 选中 〈 例 如 ， 在 图 7.5 中 的 简单 与 自 适应 )， 则 只 有 组 特征 中 的 一 
个 特征 需要 选中 。 这 相当 于 基本 特征 模型 中 的 备 选 特征 。 
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HJA: int 
图 7.5 具有 先 
除了 把 概念 强制 性 、 可 选 的 和 





进 概念 的 特征 模型 的 案例 


对 单一 、 共 同 基 数 概 念 的 蔡 代 作为 基础 外 ， 








可 以 看 到 的 基于 基数 特征 建 模 的 主要 贡献 在 于 具有 最 大 基数 大 于 1 的 特征 ， 它 被 
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称 为 克隆 特征 。 在 配置 过 程 中 ， 这 样 的 特征 可 以 进行 多 于 一 次 的 选择 。 在 这 种 情 
况 下 ， 克 隆 特 征 的 后 代 可 以 为 每 次 克隆 特征 的 选择 分 开 配 置 。 例 如 ， 在 图 7.5 
中 ， 特 征 乔 水 器 必须 至 少 选择 一 次 〈 前 刮 水 器 ) ， 但 也 可 以 选择 两 次 〈 前 、 后 刮 
水 器 ) 。 在 后 者 情况 下 ， 是 否 让 刊 水 器 配备 雨量 传感器 的 决策 可 以 采取 对 前 刮 水 
器 和 后 刮 水 器 分 别 考虑 。 在 图 7. 5 的 右 侧 ， 采 用 基本 特征 建 模 方法 进行 说 明 。 然 
而 ， 发 现 两 个 表现 手法 之 间 存 在 微妙 的 差异 : 基于 基数 的 符号 并 不 包括 两 个 刊 水 
器 特征 代表 前 、 后 刮 水 器 的 信息 ， 也 不 包括 强制 性 是 前 刮 水 器 的 信息 。 此 外 ， 例 
如 两 个 刮 水 器 配置 之 间 的 依赖 关系 ， 比 如 ， 后 刮 水 器 仅 能 在 前 面 乔 水 器 也 有 一 个 
雨量 传感器 时 ， 配 备 雨 量 传感器 正如 图 中 “需要 ”链接 所 定义 的 ， 不 能 容易 地 
用 基于 基数 的 特征 建 模 来 表示 。 

对 于 最 大 基数 为 2 或 3、 有 时 也 许 是 4 来 说 ， 克 隆 特征 的 概念 可 以 很 容易 地 
与 基本 特征 建 模 概念 交换 。 对 于 更 大 的 顶级 基数 ， 原 则 上 也 是 可 能 的 ， 但 特征 模 
型 变 得 非常 庞大 ， 且 在 这 些 情况 下 变 得 高 度 匈 余 。 对 于 无 穷 大 顶级 基数 ( 即 特 
征 可 以 选择 任意 次 数 ) 来 说 ， 当 然 这 是 不 可 能 的 。 因 此 ， 克 隆 的 特征 主要 用 于 
其 他 方面 ， 而 不 是 前 、 后 刮 水 器 上 。 克 隆 特 征 变 得 特别 有 用 的 一 个 典型 案例 ， 就 
是 在 一 个 控制 器 局 域 网 络 (CAN) 上 配置 若干 ECU (可 以 ) ， 连 同 它们 的 操作 系 
统 、 安 装 的 驱动 程序 以 及 应 用 层 上 的 软件 任务 。 

7.3.3.4 具有 若干 个 父 特 征 的 特征 

具备 克隆 特征 的 类 似 目 标 和 结果 的 一 种 先进 的 特征 建 模 概念 是 多 父 特征 。 使 
用 这 一 概念 ， 特 征 树 变 成 了 有 向 无 环 图 。 相 对 于 一 个 父辈 来 说 ， 子 特征 是 可 选 
的 ， 而 与 此 同时 ， 相 对 于 另 一 个 父辈 来 说 ， 则 是 强制 的 。 相 对 于 nman (man Sn) 
个 这 些 父辈 来 说 是 强制 性 的 、 具 有 了 个 父辈 的 特征 凡 可 以 解释 为 具有 基数 
[nwaa…n] 的 特征 。 例 如 ， 在 图 7. 6 中 的 刮 水 器 是 前 风 窗 玻璃 与 后 风 窗 玻璃 两 者 
的 一 个 子 特征 。 前 风 窗 玻璃 总 是 有 一 个 刮 水 器 ， 而 后 风 窗 刮 水 器 是 可 选 的 。 就 像 
是 克隆 特征 情况 ， 当 选择 多 于 一 次 时 ， 特 征 刮 水 器 每 次 将 分 别 配置 选择 。 这 意味 
着 在 一 个 案例 中 ， 前 风 窗 玻璃 刊 水 器 可 能 有 雨量 传感器 ， 而 在 后 风 窗 玻璃 刮 水 器 
可 能 没有 一 个 雨量 传 感 句 ， 反 之 亦 然 。 

上 面 描述 的 大 多 数 克 隆 特征 问题 也 适用 于 具有 多 父 的 特征 。 一 个 重要 的 区 别 
是 ， 多 父 特征 提供 有 更 多 语义 特征 ， 这 是 因为 它们 固定 在 不 同 的 父辈 之 下 ， 如 图 
7.6 所 示 。 

7.3.3.5 参数 化 特征 

此 外 ， 一 个 特征 可 能 具有 某 种 类 型 的 一 个 属性 ， 并 称 为 属性 特征 。 与 特征 的 
基本 属性 如 名 称 和 描述 相 比 ， 这 个 属性 具有 完全 不 同 的 性 质 : 后 者 (基本 属性 ) 
的 值 是 在 特征 树 定 义 过 程 中 规定 的 ， 属 性 特征 值 是 在 特征 选择 过 程 中 规定 的 ， 从 
而 成 为 产品 配置 的 一 部 分 ， 而 不 是 特征 模型 的 定义 。 因 此 ， 在 产品 配置 中 ， 一 个 
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属性 特征 不 仅 有 状态 “选择 ”或 “不 选 








么 做 ， 而 且 具 有 一 个 值 ， 当 且 仅 当 特 生 





点 数 。 其 他 类 型 也 可 以 想象 。 


不 幸 的 是 ， 这 种 常见 的 术语 易于 混 


择 ”， 这 意味 着 它 会 集成 到 产品 中 或 不 会 这 





F 被 选 


择 时 ， 这 个 值 可 能 是 一 个 字符 串 、 整 数 或 浮 


ACN 


同 的 属性 ， 即 基本 属性 〈 如 名称 和 描述 ) 
和 非 基 本 属性 。 因 此 ， 我 们 赞成 把 非 基 本 属 





性 称 作 参数 ， 并 把 具有 这 样 参 数 的 特 和 





F 称 作 


参数 化 特征 。 图 7. 5 给 出 了 一 个 参数 化 特征 
的 案例 。 特 征 雷 达 是 支持 使 用 int 类 型 声明 
(整数 ) 。 在 配置 过 程 中 ， 当 雷达 特征 被 选 








择 时 ， 一 个 整 型 值 必须 提供 来 指定 最 4 





\ 人 允许 





Ai a Fa BA 


AK at 


\ 


雨量 
传感器 


图 7.6 多 于 一 个 父辈 (BUR) 
的 特征 案例 





距离 。 青 一 次 说 明 ， 事实 上 ， 具 有 这 种 含义 的 参数 值 只 能 在 特征 文档 中 捕捉 到 。 
通常 ， 特 征 参数 是 这 样 定义 的 : 单一 特征 可 能 只 有 单一 参数 〈 不 是 几 个 ) ， 
这 经 常 招致 汽车 工程 师 的 批评 。 这 个 限制 的 基本 原理 是 : 当 一 个 特征 需要 一 个 以 














上 的 参数 时 ， 喜 欢 为 每 个 参数 添加 子 特征 ， 








而 不 是 直接 把 参数 添加 到 单一 特征 








上 。 和 否则 ， 在 各 个 参数 中 分 开 捕捉 到 的 信息 将 是 “隐藏 ”在 参数 列表 中 ， 虽 然 





这 是 非常 适合 于 在 特征 模型 本 身 中 捕获 的 信息 。 根 据 我 们 的 经 验 ， 在 大 多 数 情况 
下 这 是 真 的 ; 但 在 某 些 情况 下 ， 额 外 的 子 特征 变 得 非常 虚假 。 因 此 ， 从 我 们 的 角 
度 来 看 ， 存 在 两 种 解决 方案 的 很 好 理由 ， 因 此 它 主 要 是 口味 的 问题 。 








7.3.3.6 配置 决策 


产品 线 工程 的 经 典 应 用 程序 域 是 标准 的 桌面 应 用 程序 、 操 作 系 统 的 研发 以 及 
类 似 的 域 。 在 这 些 域 中 ， 特 征 模 型 通常 是 交 
必要 的 时 候 ， 既 可 以 由 客户 直接 配置 ， 也 可 以 由 工程 师 密切 配合 客户 来 配置 。 在 
汽车 领域 和 可 以 说 很 多 其 他 舱 入 式 系 统领 域 中 ， 这 是 不 可 行 的。 汽车 制造 商 的 特 

















互 配 置 的 ， 当 一 个 特定 的 产品 实例 是 





征 模 型 可 以 很 容易 地 包括 成 百 上 千 的 特征 ， 它 们 中 的 部 分 特征 是 纯粹 技术 的 ， 且 
最 终 用 户 也 看 不 见 它 们 。 不 是 手工 配置 这 样 的 特征 模型 有 必要 事先 定义 每 个 特 
征 有 什么 情况 及 在 什么 情况 下 会 选择 它们 。 





在 简单 的 情况 下 ， 这 可 以 通过 把 一 个 逻辑 表达 式 连接 到 每 个 特征 上 来 完成 。 
这 些 表 达 式 称 为 选择 标准 。 当 且 仅 当 一 个 特征 的 选择 标准 为 真 时 将 被 选中 。 虽 然 
对 于 简单 情况 是 完全 足够 的 ， 但 是 对 于 复杂 的 特征 模型 来 说 ， 选 择 的 标准 变 得 非 
常 难以 维持 。 这 是 因为 各 个 因素 驱动 的 配置 定义 常常 是 分 散在 许多 不 同 的 特征 选 
































择 标准 中 ， 且 影响 单个 特征 选择 标准 的 几 个 这 样 的 考虑 被 编译 成 一 个 逻辑 表达 


式 ， 然 后 可 以 不 再 加 以 区 分 。 因 此 ， 对 于 复杂 的 工业 产品 线 ， 这 种 方法 是 不 可 
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行 的 。 


特征 模型 配置 的 一 个 更 先进 的 概念 是 配置 决策 。 它 们 以 一 个 高 度 可 扩展 的 形 





式 ， 人 允许 在 另 一 个 特征 模型 的 配置 中 定义 一 个 特 生 





的 特征 模型 之 间 的 一 个 链接 ， 称 为 配置 链 路 。 








F 模 型 配置 。 这 样 配置 和 被 配置 


这 样 的 配置 链接 实例 的 说 明 如 图 7.7 所 示 。 让 我 们 假设 存在 三 个 因素 影响 巡 





航 控制 特征 模型 的 配置 : 


配置 特征 模型 : 





有 
aa 
美国 ing ga "™ 

























图 7.7 采用 配置 决策 来 定义 特征 配置 





。 所 有 的 北美 汽车 必须 有 一 个 巡航 控制 ， 因 为 这 个 特 生 


户 作为 标 配 期 待 〈 营 销 决策 ) 。 














| 二 | 美国 或 加 拿 人 巡航 控制 来 自 党 销 的 Al 
美国 或 加 全 人 来 白 营销 的 DAVE | ee RR 

来 白 管理 的 Pete 
el al 





包括 的 特征 























E 由 这 个 市 场 上 的 客 


。 所 有 的 北美 汽车 必须 配备 自 适应 巡航 控制 ， 因 为 我 们 的 主要 竞争 对 手 把 


它 当 做 标 配 (营销 决策 ) 。 


© 加 拿 大 的 汽车 必须 包括 自 适应 巡航 控制 系统 。 国 家 立法 要 求 这 个 (管理 


决策 ) 。 


这 种 情况 是 按照 三 种 配置 决策 进行 建 模 的 ， 如 图 7.7 中 的 表 所 示 。 


手 个 配置 


决策 纳入 标准 ， 说 明 针 对 什么 样 的 产品 实例 的 决策 是 有 效 的。 这 样 的 纳入 标准 定 


义 了 一 组 产品 的 情况 ， 称 为 产品 设 定 。 其 次 ， 针 对 每 个 决策 ， 配 置 的 特 生 








FE 模型 的 


几 个 特征 都 要 一 一 列 出 ， 它 们 被 包括 或 排除 (本 案例 中 没有 显示 ) 在 决策 产品 








设 定 的 所 有 产品 实例 中 。 最 后 ， 每 个 决策 提供 














t 一 位 负责 人 和 理由 。 当 配置 特 行 








F 模 


型 的 一 个 特定 设置 提供 后 ， 可 以 通过 组 合 配置 决策 ， 导 出 配置 的 特征 模型 的 设 





置 ， 这 些 配置 决策 对 应 于 配置 特征 模型 设置 的 产品 实例 是 有 效 的 。 

















当 考 虑 案例 中 的 宛 余 时 ， 分 开 记 录 单 个 配置 决策 的 好 处 变 得 愈加 明显 。 当 对 
每 一 个 特征 使 用 一 个 选择 标准 时 ， 三 点 考虑 都 会 被 编译 成 一 个 单一 规则 : 北美 汽 











车 都 配备 自 适 应 巡航 控制 。 然 而 ， 当 一 种 考虑 改变 或 停止 使 用 时 ， 明 确 分 离 考 虑 
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对 建立 变化 对 配置 的 影响 ， 一 般 具 有 非常 重要 的 意义 。 例 如 ， 当 竞争 者 改变 产品 
序列 ， 且 它们 不 再 把 自 适应 巡航 控制 系统 作为 标 配 时 ， 那 么 第 2 号 配置 决策 就 变 
得 无 效 。 在 这 种 情况 下 ， 非 常 重要 的 是 要 知道 ， 还 有 其 他 的 理由 使 北美 汽车 搭载 
自 适 应 巡航 控制 系统 。 同 样 的 ， 当 新 的 考虑 出 现时 ， 有 可 能 检测 到 与 现 有 的 考虑 
冲突 ; 然后， 冲突 的 配置 决策 的 理由 可 以 咨询 ， 或 负责 人 可 以 联系 以 解决 冲突 。 

存在 配置 决策 的 许多 额外 属性 是 可 能 的 ， 例 如 在 时 间 的 优先 次 序 上 或 限制 的 
有 效 性 。 

7.3.3.7 ”其 他 先进 特征 建 模 概念 

特征 建 模 的 许多 其 他 概念 已 在 文献 中 提出 。 例 如 ， 特 征 树 的 边缘 一 一 也 就 是 
父子 关系 一 一 可 以 键入 ,目的 是 指定 子 特征 是 否 是 一 个 特例 (在 上 面 的 例子 中 
的 简单 和 高 级 ) ， 或 父 特征 的 一 部 分 (巡航 控制 、 刊 水 占 )。 同 时 ， 特 征 可 以 被 
组 织 细 化 成 若干 层 IN*']。 先 进 的 特征 建 模 的 概念 的 更 多 细节 超出 了 本 章 的 
范围 。 


7.3.4 讨论 : 汽车 域 的 特征 建 模 


上 面 描述 的 各 种 特征 建 模 概 念 在 汽车 领域 具有 非常 不 同 的 用 途 。 作 为 一 般 粗 
略 性 的 指导 ， 我 们 建议 尽 可 能 把 特征 建 模 限 定 在 基本 特征 建 模 。 唯 一 的 例外 是 特 
征 参数 化 ， 这 可 能 是 有 用 的 ， 在 大 多 数 汽车 特征 建 模 使 用 案例 中 甚至 是 必 不 可 少 
的 ， 且 没有 引入 太 多 的 附加 的 建 模 复杂 性 。 克 隆 的 特征 在 某 些 情况 下 是 非常 有 用 
的 〈 例 如 ， 正 如 上 面 所 描述 的 ECU 网 络 配置 ) ， 但 应 谨慎 使 用 ， 且 只 在 大 型 特 
征 模型 的 那些 点 处 ， 在 那里 它们 真 的 是 必要 的 ， 这 是 因为 这 个 概念 的 巨大 复杂 
性 。 每 当 一 个 复杂 的 特征 模型 不 能 交互 配置 ， 每 一 次 变异 体 需 要 生成 ， 而 配置 必 
须 事先 定义 时 ， 配 置 决策 建 模具 有 用 途 。 

不 笠 的 是 ， 对 区 隆 特 征 及 配置 决策 文 持 目 前 在 可 变性 管理 的 商业 工具 中 是 非 
常 有 限 的 。 


7.4 汽车 产品 线 可 变性 的 整体 协调 


因为 一 个 产品 线 的 基础 设施 通常 包括 多 种 多 样 的 可 变 物件 ， 因 此 存在 一 种 站 
在 整体 的 高 度 ， 在 所 有 物件 之 间 对 可 变性 进行 集中 协调 的 需要 。 这 对 具有 高 度 复 
杂 产 品 线 及 其 家 族 的 汽车 领域 来 说 ， 特 别 真实 。 存 在 两 个 方案 ,它们 可 以 应 用 在 
这 样 一 个 整体 可 变性 协调 中 。 本 节 将 对 此 描述 。 

作为 本 次 讨论 的 基础 ， 考 虑 以 下 情况 : 在 研发 过 程 中 ， 所 有 关联 信息 在 众多 
的 研发 物件 中 被 捕 换 到 〈 例 如 ， 需 求 文档 、 组 件 图 、MILZ SL 模型 、 测 试 案例 描 
述 ) 。 在 图 7.8 和 图 7.9 中 ,这 些 物件 用 文字 符号 描绘 在 灰色 的 V 形 图 上 ， 它 们 
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象征 着 研发 过 程 。 如 果 它 的 内 容 从 一 个 产品 实例 变化 到 男 一 个 产品 实例 ， 那 么 这 
些 物件 中 的 每 一 个 都 可 以 用 变量 形式 定义 。 这 点 在 图 7.8 和 图 7.9 中 右 侧 针对 放 
大 产品 进行 了 示范 演示 ， 采 用 的 方法 是 通过 空 矩 形 一 一 代表 一 个 变化 点 ( 即 产 
品 中 出 现 可 变性 的 位 置 ; 可 变性 的 “ 占 位 符 ”) 和 可 以 搬 在 这 一 变化 点 上 的 三 个 
变形 体 。 如 何在 一 个 产品 中 准确 地 定义 变异 性 是 高 度 依赖 于 产品 的 类 型 和 使 用 的 
方法 ， 这 将 在 7. 5 节 中 进行 更 详细 的 讨论 。 在 这 里 ， 我 们 专注 于 如 何 组 织 和 管理 
整个 产品 线 的 众多 产品 的 复杂 变异 性 。 
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图 7.8 具备 核心 特征 模型 的 产品 线 协调 
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图 7.9 采用 核心 特征 模型 和 产品 生产 线 的 产品 线 协 调 
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。 产品 线 水 平 的 变异 性 ， 也 就 是 从 整体 的 角度 来 看 所 有 产品 实例 的 变异 性 
(该 节 的 剩余 部 分 ) 。 


7.4.1 小 到 中 型 的 产品 线 的 协作 


实现 整体 视野 的 一 种 方法 ， 就 是 引入 一 个 针对 所 有 产品 的 单一 核心 变异 性 模 
型 (图 7.8) 。 由 于 其 高 度 抽象 ， 所 以 特征 模型 特别 适合 于 这 个 目的 。 那 么 ， 这 
个 核心 的 变异 性 模型 用 作 定 义 绑 定 在 所 有 产品 上 变异 性 的 基础 上 ， 如 图 7.8 所 
示 ， 箭 头 从 核心 特征 模型 指向 可 变 产 品 。 这 意味 着 针对 一 个 产品 的 每 一 个 变化 
点 ， 用 核心 特征 模型 中 的 配置 方式 制作 什么 时 候 使 用 那个 变量 的 规范 。 例 如 ， 考 
虑 上 面 提 到 的 虚拟 MLZ SL 模型 ， 其 中 对 于 某 些 产 品 实例 来 说 ， 模 块 B 需要 被 
变量 B, 取代 。 在 这 种 情况 下 可 以 定义 : 比如 ， 如 果 特 征 雨 量 传 感 融 被 选择 ， 那 
ZB, BOR, AUB, 保持 不 变 。 以 这 种 方式 在 产品 线 产品 范围 内 的 整个 变化 是 
与 单个 配置 空间 (用 核心 特征 模型 来 表示 ) 相关 的 。 且 当 核 心 模型 的 一 个 完整 
配置 给 出 一 一 即 某 个 产品 实例 选 定 ， 那 么 所 有 产品 的 配置 可 以 根据 这 个 导出 。 

这 种 组 织 模式 非常 适合 于 小 型 和 中 型 系统 产品 线 ， 它 们 只 由 一 个 小 团队 或 由 
一 个 公司 部 门 开 发 ， 它 们 只 有 中 等 数量 的 产品 ， 其 复杂 度 较 低 或 中 等 。 汽 车 供应 
商 的 产品 线 提供 了 清晰 界定 的 子 系统 ， 它 们 都 属于 这 个 类 别 。 例 如 ， 提 供 雨 量 传 
感 絮 的 产品 线 或 提供 气候 控制 的 产品 线 的 一 个 供应 商 可 以 采用 这 种 产品 线 的 协调 
方案 。 


7.4.2 高 度 复杂 的 产品 线 协 作 


由 于 若干 原因 ， 在 上 一 节 中 摘 述 的 组 织 模式 不 能 用 于 高 度 复杂 的 产品 ， 如 汽 
车 制造 商 的 产品 序列 :; 

。 组 成 产品 线 的 产品 不 是 由 一 个 公司 开发 的 。 相 反 ， 子 系统 的 开发 和 供 货 
由 其 他 公司 完成 ， 需 要 集成 到 整体 生产 线 上 。 

。 由 于 整个 系统 的 整体 复杂 性 ， 即 使 在 同一 个 公司 ， 许 多 不 同 的 部 门 负责 
不 同 的 产品 。 

。 由 于 研发 开展 处 于 复杂 的 环境 中 〈 即 公司 内 部 的 部 门 ， 外 加 供应 商 ) ， 所 
以 研发 中 采用 了 许多 不 同 的 方法 、 工 具 和 流程 。 

。 产品 和 子 系统 有 不 同 的 生命 周期 和 范围 。 一 个 子 系统 就 像 一 个 刮 水 器 或 
线 控制 动 系统 ， 通 常 不 仅 内 置 到 几 个 车 型 上 平行 生产 ， 而 且 也 内 置 到 几 代 这 些 连 
续 车 型 中 ; 通常 ， 在 一 代 车 型 的 生产 过 程 中 ， 这 样 的 子 系统 可 能 被 另 一 个 子 系统 
所 取代 ， 即 引入 一 个 新 的 子 系统 并 不 一 定 与 引入 一 种 新 车 型 重合 。 例 如 ， 刊 水 屁 
控制 可 用 于 模型 A 和 B 中 ， 而 防 抱 死 系统 在 模型 B、C AID 中 采用 。 同 样 ， 在 
一 代 车 型 B 的 寿命 期 间 ， 防 抱 死 系统 可 以 被 一 个 新 的 防 抱 死 系统 取代 。 
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寺 征 建 模 在 如 此 复杂 的 研发 环境 下 具有 很 大 的 潜力 : 特征 可 以 作为 一 个 公司 
内 部 的 管理 、 营 销 、 研 发 之 间 的 一 个 链接 环节 ， 并 作为 公司 之 间 的 链接 环节 来 促 
进 交 流 ， 从 而 成 为 所 有 变异 和 进化 管理 的 核心 。 

然而 ， 由 于 以 上 的 原因 ， 是 不 可 能 直接 说 清楚 所 有 变量 产品 与 单个 的 整体 特 
征 模型 的 关系 。 相 反 ， 每 个 研发 产品 可 以 组 织 成 自己 的 小 型 生产 线 。 同 样 ， 若 干 
产品 可 以 组 合 ， 并 可 以 共同 管理 成 为 一 个 小 型 产品 线 。 当 然 ， 这 些 下 属 产品 线 实 
例 在 本 质 上 不 同 于 整体 产品 线 实 例 : 在 第 一 种 情况 下 ， 我 们 有 一 个 初始 化 的 、 不 
变 的 研发 产品 ， 比 如 一 个 测试 案例 的 描述 或 规范 要 求 ; 而 在 后 一 种 情况 下 ， 我 们 
实际 上 有 一 个 产品 ， 那 就 是 汽车 。 为 了 强调 这 一 事实 ， 那些 开发 产品 的 小 型 
EMR” WRA MR 

区 分 产品 线 和 简单 变量 的 主要 性 能 是 产品 线 提 供 了 它 自 己 局 部 特征 模型 
(图 7.9)。 这 一 特征 模型 是 用 来 发 布 产品 变异 性 的 合适 视角 给 对 这 产品 实例 感 兴 
趣 的 参与 者 。 这 使 得 产品 线 中 的 一 个 或 多 个 产品 独立 于 整体 产品 线 的 整体 核心 特 
征 模 型 。 

关 品 线 和 整体 产品 线 之 间 的 联系 是 通过 定义 产品 线 特征 模型 配置 作为 整体 产 
品 线 的 核心 特征 模型 配置 的 函数 来 实现 的 ， 如 图 7. 9 中 的 实 线 箭头 所 示 。 在 概念 
层面 上 ， 这 些 链接 可 以 采用 上 面 介绍 的 配置 链接 来 实现 。 然 后 ， 每 当 核心 特征 模 
型 的 一 个 配置 给 定 后 ， 所 有 产品 线 配置 可 以 由 它 推 出 。 在 大 多 数 情况 下 ， 这 些 链 
接 在 茶 种 意义 上 是 针对 配置 可 以 从 核心 特征 模型 传播 到 产品 线 特 征 模型 ， 而 不 是 
其 他 方式 。 

产品 线 可 能 反 过 来 是 由 其 他 低 水 平 的 产品 线 组 成 。 要 做 到 这 一 点 ， 低 级 产品 
线 特征 模型 以 几乎 完全 相同 的 方式 与 顶级 产品 线 的 特征 模型 链接 ， 正 如 前 面 针 对 
产品 线 特征 模型 和 整体 产品 线 所 描述 的 。 在 这 种 方式 中 ， 由 较 低 级 产品 线 暴 露 的 
可 变性 可 能 是 部 分 隐藏 的 、 多 样 化 包装 或 以 不 同 的 形式 出 现 。 

因此 ,产品 线 特征 模型 隐藏 了 两 种 变异 性 信息 : 第 一 ， 在 具体 产品 范围 内 ， 
变异 性 是 如 何 由 技术 细节 定义 的 (例如 ， 显 式 定 义 的 变化 点 ， 连 同 针对 它们 的 
变量 或 选择 编 入 产品 的 方面 ); 第 二 ， 在 复合 产品 线 情况 中 ， 可 变性 是 如 何 由 低 
级 别 产品 线 细节 暴露 的 。 这 两 种 隐藏 情况 都 被 称 为 配置 隐藏 。 这 种 配置 隐藏 对 文 
持 不 同 生命 周期 的 各 个 研发 产品 ， 以 及 对 支持 上 面 描述 的 制造 商 - 供应 商 关 系 的 
复杂 网 络 是 关键 的 。 此 外 ， 这 样 一 个 变异 性 层次 管理 是 降低 产品 线 工程 的 组 合 复 
杂 性 的 一 个 有 效 工 具 ， 因 为 产品 局 部 特征 模型 可 以 在 产品 范围 内 ， 把 变异 性 的 复 
杂 性 减少 到 适合 在 整个 产品 线 范围 内 使 用 的 水 平 。 

通过 使 用 的 链接 产品 线 特征 模型 到 核心 的 概念 ， 把 核心 模型 分 解 成 几 个 层次 
上 的 特征 模型 ， 从 而 蔡 换 采用 单一 核心 特征 模型 ， 这 样 的 事 也 是 可 以 想象 的 。 例 
如 ， 两 个 核心 特征 模型 可 以 用 来 区 分 客户 与 工程 对 变异 性 的 观点 ， 正 如 文献 
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[RW05] 中 解释 的 。 

应 对 高 度 复 杂 产 品 线 的 另 一 种 方法 称 为 子 范 围 ， 它 遵循 不 同 的 想法 。 和 替换 
层次 分 解 一 个 复杂 产品 线 的 基础 ， 这 条 线 是 通过 几 个 下 属 的 产品 线 BRON 
R) 取代 ， 它 们 中 的 每 一 个 都 有 一 个 减少 的 范围 (相对 于 整体 产品 线 来 说 )， 
因此 在 每 一 个 这 样 的 子 线 中 ， 大 大 减少 了 变异 的 复杂 性 。 然 后 这 些 子 线 可 以 相 
对 彼此 独立 地 进行 研发 ， 但 与 此 同时 ， 专 用 技术 概念 允许 总 的 产品 线 实 现 整 体 
水 平 的 战略 管理 。 这 种 方法 的 更 多 细节 超出 了 本 章 的 范围 ， 读 者 可 以 参阅 文献 
[ ReiWeb07 | 。 

最 后 ， 应 该 指出 的 是 ， 高 度 复 杂 产 品 线 的 协调 以 及 相关 方法 和 技术 的 许多 细 
节 还 没有 完全 解决 ， 留 作 未 来 研究 具有 挑战 性 的 课题 。 


7.5 产品 级 别 的 变异 性 


在 上 一 节 中 ， 我们 提出 了 在 整体 协调 水 平 上 管理 变异 性 的 理念 。 在 本 节 中 ， 
我 们 将 讨论 管理 产品 局 部 水 平 变异 性 ， 并 讨论 产品 局 部 水 平和 整体 协调 水 平 之 间 
的 关系 。 


7.5.1 基本 方法 


当 配 置 一 个 产品 ， 例 如 一 个 需求 规范 、 一 个 分 析 模 型 或 针对 一 个 特定 产品 
(或 产品 组 ) 的 一 组 测试 案例 时 ， 必 须 提 供 一 种 机 制 来 选择 一 个 基于 产生 该 产品 
(或 产品 组 ) 的 决策 变化 点 。 

正如 7. 3.3 节 所 讨论 的 ， 存 在 许多 方法 可 用 作 配 置 基础 。 在 这 里 ， 我 们 考虑 
一 个 基于 特征 的 产品 配置 ， 如 图 7. 10 所 示 。 在 这 种 方法 中 ， 条 件 必须 依附 到 每 
个 变化 的 产品 部 分 ， 用 于 描述 在 所 选择 的 变化 产品 部 分 下 特征 选择 的 组 合 。 在 最 
简单 的 情况 下 ， 存 在 一 个 从 每 个 变量 部 分 到 单一 特征 的 上 映射。 然而， 一 般 来 说 更 
复杂 的 条 件 可 能 是 必要 的 。 


7.5.2 与 局 部 产品 变异 性 有 关 的 困难 


不 幸 的 是 ， 在 各 个 人 研发 产品 世界 中 ， 当 试图 引入 代表 变异 性 机 制 时 ， 不 得 不 
面临 一 些 困难 : 

。 由 于 不 同 产品 的 异 质 性 ， 例 如 ， 由 于 在 汽车 领域 采用 的 建 模 与 规范 语言 
品种 的 多 样 性 ， 所 以 几乎 不 可 能 找到 一 种 能 在 所 有 可 能 的 情况 下 效果 很 好 的 通用 
变异 性 机 制 。 

。 然而 ， 即 使 采用 了 具体 的 产品 机 制 ， 仍 然 有 一 些 连接 必须 定义 到 整体 协 
调 模 型 中 的 可 变性 建 模 。 
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图 7.10 基于 特征 的 产品 配置 


。 此 外 ， 在 许多 领域 中 ， 带 有 专利 建 模 方法 和 有 限 适应 机 制 的 特殊 工具 ， 
已 经 在 实践 中 占有 主导 地 位 。 到 目前 为 止 ， 这些 工 具 并 不 提供 可 变性 和 产品 配置 
的 全 面 支持 ， 因 此 务实 的 解决 方案 正在 开发 项 目 中 人 研发。 不 幸 的 是 ， 这 导致 了 各 
种 不 同 的 机 制 来 处 理 变异 性 ， 即 使 当 考 虑 到 一 个 产品 和 一 种 单一 工具 的 时 候 。 

作为 一 个 案例 ， 考 虑 ECU 规范 和 基于 模型 分 析 领 域 ， 以 及 电 控 单元 (ECU) 
软件 开发 。 在 这 些 领域 中 ， 非 常 不 同 的 产品 必须 得 到 支持 ， 即 提供 文本 的 规格 和 
软件 模型 ， 并 存在 有 专利 机 制 的 广泛 应 用 的 工具 ， 即 DOOR 和 ML/ SL / Stateflow 
(SF)。 由 于 对 可 变性 的 支持 在 传统 上 是 有 限 的 ， 或 一 点 也 不 出 现在 这 些 传统 工 
具 上 ， 所 以 各 种 各 样 的 解决 方案 或 变通 方案 已 经 在 开发 项 目 中 出 现 。 例 如 ， 因 为 
ML/ SL / SF 在 它 的 模块 模型 中 并 不 支持 显 式 表示 变化 点 ， 所 以 在 实践 中 常用 到 
以 下 两 种 变通 方法 : 

。 一 种 方法 是 建立 一 个 模型 ， 它 包含 所 有 的 平行 变化 ， 并 通过 打开 或 关 掉 
单个 模块 来 构造 单个 变量 。 缺 点 是 这 种 模型 本 身 并 不 代表 一 个 有 意义 的 系统 ， 因 
此 不 容易 理解 和 维护 。 

© 另 一 种 方法 是 滥用 /使 用 现 有 的 工具 概念 ， 例 如 , Æ ML SL / SF 中 可 配 
置 子 系统 的 概念 ， 以 有 限 的 方式 代表 可 变性 。 

类 似 的 情况 出 现在 ECU 规范 中 : 广泛 使 用 的 工具 比如 DOORS 不 提供 变化 点 
显 式 建 模 概念 ， 因 此 各 种 务实 的 解决 方案 和 变通 方法 被 采用 。 

作为 这 些 考虑 的 结果 ， 我 们 主张 处 理 产 品 局 部 变异 性 (的 方法 ) 介绍 如 下 : 

。 由 于 每 个 产品 具有 自身 的 特点 和 (实际 的 ) 限制 ， 所 以 针对 不 同 的 产品 ， 
必须 提供 不 同 的 变异 性 机 制 。 
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。 为 了 把 这 些 产 品 的 局 部 变化 机 制 连接 到 整体 协调 模型 中 ， 必 须 提供 一 个 
通用 的 接口 机 制 。 正 如 7.4.2 节 中 描述 的 产品 线 的 局 部 特征 模型 可 以 作为 这 样 一 
个 接口 。 

。 为 了 解决 针对 一 个 产品 存在 可 变性 有 多 种 多 样 表示 的 问题 ， 针 对 每 个 产 
品 定义 了 一 个 中 间 (标准 ) 表示 ， 它 是 所 有 具体 方法 都 可 以 映射 上 去 的 。 接 着 
这 个 中 间 表 示 作 为 连接 产品 局 部 变异 性 建 模 到 整体 协调 模型 的 基础 。 

由 于 汽车 领域 产品 的 多 样 性 ， 所 以 在 这 里 我 们 不 能 讨论 并 举例 说 明 针对 所 有 
类 型 产品 的 这 种 方法 。 相 反 ， 在 本 节 的 其 余部 分 ,我 们 将 集中 在 ECU 规范 变异 
性 的 探讨 。 使 用 这 个 作为 一 个 案例 ， 我 们 将 说 明代 表 产 品级 的 变异 性 的 基本 风 
格 ， 并 说 明 当 设计 或 选择 一 个 特定 形式 的 表征 时 应 处 理 的 重要 考虑 因素 ， 以 类 似 
的 方式 ， 这 些 表征 方式 是 适用 于 大 多 数 其 他 类 型 的 产品 。 


7.5.3 表示 ECU 要 求 规范 中 的 变异 性 


为 了 表示 ECU 的 规范 要 求 ， 几 乎 所 有 要 求 的 管理 工具 使 用 以 下 几 种 常见 结 
构 (图 7.11): 
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图 7.11 ECU 要 求 规范 的 通用 结构 


。 规范 对 象 是 分 层 组 织 。 

。 在 每 一 个 分 层级 别 上 ， 规 范 对 象 是 有 序 的 。 

。 规范 对 象 有 预定 义 的 属性 ， 例 如 ， 主 要 的 规范 文本 以 及 项 目的 具体 属性 ， 
如 对 象 的 状态 。 
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。 规范 的 对 象 在 它 本 身 之 间 连 接 ， 并 通过 跟踪 链接 把 它 和 其 他 产品 连接 
起 来 。 

因此 ,这 些 结构 并 不 是 特定 的 工具 。 此 外 ， 它 们 符合 一 般 要 求 交 换 格式 
“RIF” [MeO] ， 该 格式 目前 是 由 德国 汽车 制造 商 推 出 ， 并 得 到 几 个 工具 供应 商 的 
支持 。 

根据 我 们 在 不 同 开发 项 目 中 的 经 验 ， 事实 上 基本 存在 四 种 方法 来 表示 这 样 规 
范 结构 中 的 变异 性 : 

。 使 用 对 象 层次 来 表示 变异 性 : 在 这 种 方法 中 ， 变 化 点 是 由 一 个 新 的 规范 
对 象 来 表示 的 。 那 么 这 种 变化 点 的 子 对 象 代表 属于 这 个 变化 点 的 规范 部 分 。 在 最 
简单 的 情况 下 ， 变 化 点 建立 了 一 个 可 选 规范 部 分 的 模型 。 然 后 这 一 部 分 是 直接 分 
层 放置 在 变化 点 下 面 。 在 更 复杂 的 情况 下 ， 变 化 点 有 几 个 子 元 素 〈 即 变量 ) 和 
一 个 额外 的 层次 用 来 区 分 这 些 蔡 代 物 。 

。 使 用 规范 对 象 的 排序 来 代表 变异 性 : 在 这 种 方法 中 ， 一 个 变化 点 是 由 两 
个 新 的 规范 对 象 来 描述 (在 相同 层次 等 级 ) 的 ， 它 们 标志 着 属于 这 个 变化 点 的 
规范 部 分 的 开始 和 结束 。 正 如 上 面 所 讨论 的 ， 额外 的 中 间 对 象 可 用 于 区 分 更 复杂 
变化 点 之 间 的 变量 。 

。 使 用 规范 对 象 之 间 的 可 追溯 性 链接 来 代表 变异 性 : 在 这 种 情况 下 ， 一 个 
变异 点 是 由 一 个 对 象 来 代表 的 ， 且 属于 这 个 变化 点 的 所 有 的 规范 元 素 是 通过 跟踪 
链接 连接 到 这 个 对 象 上 的 。 特 定 类 型 链接 或 附加 对 象 用 来 表示 更 复杂 的 变异 点 。 

。 使 用 规范 对 象 的 属性 来 表示 变异 性 : 在 这 种 情况 下 ， 没 有 引入 额外 对 象 
来 表征 不 同 点 ， 但 引入 一 个 新 的 属性 ， 它 指定 了 每 个 规范 对 象 的 变化 点 以 及 它 属 
于 哪个 变量 。 


在 下 面 的 7.5.4 节 中 ， 我们 将 简要 比较 和 评估 这 些 方法 。 
7.5.4 表现 的 评估 


我 们 评估 这 些 方法 是 基于 几 个 标准 ， 且 我 们 认为 这 些 标准 与 相关 领域 内 的 实 
践 经 验 有 关 。 

清晰 : 该 方法 不 应 掩盖 规范 之 内 的 变异 性 信息 。 

定义 /维护 工作 : 方法 不 应 该 导致 过 度 的 定义 或 维护 工作 。 

违反 层次 结构 的 鲁 棒 性 : 当 研 究 规范 时 ， 工 程 师 经 常 无 意 中 违 反 预 设 规范 的 
层次 结构 ， 例 如 ， 在 重组 规范 过 程 中 拖 、 放 对 象 。 就 这 种 错误 而 言 ， 方 法 应 该 具 
AG PETER 

重新 排序 的 鲁 棒 性 : 同样 ， 工 程 师 通 常会 改变 规范 对 象 的 顺序 ， 比 如 ， 当 清 
理 规 范 或 仅仅 是 为 了 提高 可 读 性 和 可 理解 性 时 。 相 对 于 这 种 变化 ， 方 法 也 应 该 是 
和 鲁 棒 的 。 


190 





























第 7 章 汽车 电子 产品 生产 线 eee 
表 7.1 总 结 了 四 种 方法 相对 于 这 些 标准 的 一 个 简要 评价 。 
表 7.1 对 ECU 要 求 规范 中 各 种 形式 变异 性 表示 的 评价 
(1) 使 用 目标 层次 (2) 使 用 目标 序列 (3) 使 用 链接 (4) 使 用 属性 






















































































清晰 + + = z 
定义 /维护 工作 + + z 
违反 层次 结构 的 鲁 棒 性 = E + + 
重新 排序 的 鲁 棒 性 - = + 


评价 结果 表明 ， 没 有 一 种 机 制 能 够 严 配 所 有 需求 : 相对 于 规范 重组 更 具有 重 
棒 性 的 这 些 方法 ， 趋 向 于 增加 工作 量 和 默默 无 闻 ， 反 之 亦 然 。 因 此 ， 需 要 在 各 个 
项 目的 水 平 上 ， 对 这 些 方法 之 一 采取 决策 ， 并 同时 考虑 项 目的 具体 特点 和 需求 。 


7.5.5 对 通用 基础 的 映射 表示 


上 一 节 研 究 已 经 表明 ， 四 种 表示 方法 之 中 没有 一 。 
此 ， 非 常 可 能 的 是 不 同 的 机 制 将 继续 用 于 工业 设置 。 为 了 应 对 这 种 情况 ， 
用 表达 方式 可 以 作为 一 个 基础 ， 所 有 的 方法 可 以 映射 到 它 上 面 (图 7. 12)。 i 
中 间 表 示 的 想法 是 隐 式 地 把 所 有 规范 对 象 考虑 成 变化 点 ， 且 这 种 想法 把 选择 标准 
附加 到 每 个 对 象 一 一 它 描 述 在 何 种 特征 选择 组 合 下 ， 该 对 象 是 适用 的 。 








































主要 规范 内 容 附加 属性 选择 条 件 
汽车 具有 基于 .…… 态 = 成 浆 、 合 理 =-“ 与 系统 兼容 " ECU 与 
的 灯光 控制 系统 (标准 灯光 系统 或) 





= < 灯光 控制 系统 规范 对 象 1> 选择 条 件 对 象 1 








< 灯光 控制 系统 规范 对 象 2> 









选择 条 件 对 象 2 
< 灯光 控制 系统 规范 对 象 2.1> 选择 条 件 对 象 2.1 





< 灯光 控制 系统 规范 对 象 2.2> 选择 条 件 对 象 2.2 





< 灯光 控制 系统 规范 对 象 3> TEPER METAS 








< 灯光 控制 系统 规范 对 象 3.1> HELPER PABA 
图 7.12 具备 选择 条 件 的 产品 级 别 可 变性 的 表示 
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请 注意 ， 这 种 方法 也 可 以 被 看 做 是 一 个 额外 的 方法 来 表示 变异 性 ， 共 





属性 的 方法 4 的 优势 和 缺点 。 把 方法 1 ~ 方法 4 中 的 任何 方法 转换 成 这 种 


法 ， 是 相对 简单 的 : 
。 在 第 一 步 中 ， 把 方法 1 ~ 方法 3 转化 为 方法 4 的 表示 。 
© 在 第 二 步 中 ， iced BERPIZ, BCE MAILER TTC. F 


样 ， 适 用 于 变化 点 的 其 他 变量 。 
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8.1 软件 的 复 用 : AZ OEM 所 面临 的 挑战 


随 着 第 三 个 千年 的 开始 ， 汽 车 工业 将 面临 一 个 全 新 的 挑战 。90% 的 新 发 明 与 
电子 学 相关 ， 而 这 之 中 的 80% 离 不 开 软 件 的 应 用 。 这 意味 着 电子 产品 的 发 展 是 
变化 的 。 越 来 越 多 的 高 级 连接 功能 必须 为 系列 化 生产 做 好 准备 ， 而 与 此 同时 ， 开 
发 周期 变 得 越 来 越 得。 软件 在 汽车 行业 的 重要 性 明显 地 在 MMCH ( 美 世 管理 咨 
询 和 联合 抵押 银行 ) 的 研究 中 表现 了 出 来 。 据 此 研究 ，2010 年 ，13% 的 车 辆 生 
产 成 本 将 用 在 软件 中 ， 如 图 8. 1 所 示 。 

ry 


























35% ponent mc 


汽车 中 硬件 与 软件 
价值 百分比 





22% |----r nnn 












13% -| 80% o po 基础 软件 2% 





操作 系统 8% 
AN 




















图 8.1 软件 在 汽车 中 重要 性 的 上 升 (根据 美 世 管理 咨询 和 联合 
抵押 银行 的 研究 ， 汽 车 技术 2010. WE, 2001, 8) 


对 于 这 些 发 现 ， 必 须 改进 包括 针对 汽车 域 的 软件 开发 方法 在 内 的 开发 过 程 。 
已 在 这 一 领域 中 的 某 些 部 分 完成 了 大 量 的 工作 。 需 求 工程 、 软 件 质量 或 基于 模型 
的 软件 发 展 是 最 突出 的 例子 。 这 总 是 以 减少 软件 开发 时 间 ， 从 而 提高 软件 质量 为 
目标 。 男 外 有 前 景 的、 又 兼 具 挑 战地 来 达到 这 些 目 标的 方法 便 是 软件 的 重新 利 
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用 。 在 汽车 领域 中 的 软件 重新 利用 的 前 提 条 件 是 将 电子 控制 单元 (ECU) 的 硬 
件 从 在 其 上 运行 的 舱 入 式 软件 中 分 离 出 来 。 

直到 最 近 ， 汽 车 制造 商 们 对 ECU (电子 控制 单元 ) 的 感知 是 一 个 单一 的 装 
置 。 他 们 指定 、 并 从 供应 商 那 里 订购 黑 盒 子 。 在 样品 传送 过 来 之 后 ， 他 们 也 将 它 
们 作为 黑 盒 子 来 测试 。 对 于 汽车 制造 商 ， 此 过 程 的 缺点 在 于 如 果 供 应 商 改 变 了 ， 
那么 软件 必须 针对 每 一 个 新 的 工程 进行 更 新 。 这 不 仪 会 造成 额外 费用 ， 而 且 还 增 
加 了 开发 时 间 。 

汽车 电子 产品 的 供应 商 通常 致力 于 研发 系统 的 单一 部 分 。 这 与 那些 负责 将 单 
一 部 分 整合 到 一 个 完整 的 电子 系统 的 汽车 制造 商 们 的 观点 形成 对 比 。 具 有 分 布 式 
功能 的 联网 单元 需要 汽车 制造 商 拥有 开发 流程 和 人 允许 系统 级 软件 复 用 的 方法 。 再 
者 ， 软 件 复 用 的 方法 可 以 使 制造 商 们 开发 自己 的 独 具 苋 争 差异 化 的 软件 ， 从 而 确 
保 了 他 们 的 知识 产权 。 

接着 介绍 现代 汽车 上 电子 系统 领域 的 近期 工作 (8.2 节 ) ， 然 后 呈现 一 个 可 
以 使 汽车 制造 商 们 复 用 软件 的 框架 (参见 8.3 节 ) ，8.4 节 给 出 这 个 框架 应 用 于 
现实 汽车 方案 中 的 例子 ，8. 5 节 总 绪 本 草 内 容 。 


8.2 ”汽车 领域 中 软件 复 用 的 必要 条 件 


为 了 得 到 汽车 制造 商 对 软件 复 用 的 想法 ， 这 里 介绍 现代 汽车 的 电子 系统 。 如 
之 前 所 提 到 的 ， 汽 车 领域 中 的 创新 主要 由 电子 产品 所 驱动 。 过 去 几 年 中 燃油 经 济 
性 和 发 动机 功率 的 提高 ， 并 且 驾 驶 辅助 系统 如 “奥迪 侧 向 辅助 系统 ” (盲点 警 
告 ) 和 “奥迪 车 道 辅助 系统 ”( 车 道 偏离 预警 )， 若 无 电子 学 ， 则 是 不 可 想象 的 。 

为 了 满足 这 些 电 子 系 统 的 通信 需求 的 增加 ，ECU 通过 不 同 的 总 线 系统 来 通 
信 。 使 用 最 广泛 的 汽车 总 线 系统 是 控制 器 区 域 网 络 (CAN)、 本 地 互联 网 络 
(LIN) 和 媒体 导向 系统 传输 (MOST), FlexRay 目前 应 用 到 了 第 一 批 系 列 轿 车 
E. 体现 这 样 一 个 系统 复杂 性 的 案例 是 奥迪 A5 的 网 络 拓扑 图 ， 如 图 8. 2 所 示 。 

在 绪论 中 已 指出 ， 汽 车 制造 商 们 开始 逐渐 将 软件 视 为 一 个 独立 于 底层 硬件 的 
电子 元 件 。 这 个 观点 是 能 够 使 软件 复 用 成 功 的 先决 条 件 ， 但 是 也 还 存在 着 各 种 各 
样 潜在 未 解决 的 问题 。 文 献 [6] 列举 的 汽车 领域 中 的 软件 复 用 条 件 介绍 如 下 : 

。 可 再 用 的 软件 部 件 必 须 与 “硬件 独立 ”。 

o 软件 部 件 的 界面 必须 能 够 在 ECU 上 和 /或 通过 数据 总 线 局 部 交换 数据 。 

© 研发 可 再 用 软件 时 ， 要 考虑 到 每 一 个 功能 的 未 来 需求 。 

。 在 开发 复 用 软件 时 ， 软 件 部 件 的 “代码 大 小 ”和 “执行 时 间 ” 必须 最 小 
化 。 这 两 种 资源 因 其 在 汽车 工业 中 的 大 规模 生产 而 昂贵 。 

还 有 一 些 方面 必须 考虑 到 。 单 个 软件 模块 必须 有 一 个 最 佳 的 “模块 化 " 。 这 
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就 意味 着 一 项 功能 (例如 ， 中 控 锁 系统 或 者 外 部 灯光 ) 可 能 由 不 同 的 单个 子 部 
分 组 成 。 因 为 一 项 功能 的 改变 可 能 仅 需 要 更 改 一 个 子 部 件 ， 所 以 建立 子 部 分 可 以 


提高 复 用 性 。 
-— 
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然而 ， 功 能 划分 为 子 部 分 可 能 会 引起 代码 的 重复 。 例 如 ， 与 作为 单个 单元 的 
模块 研制 相 比 ， 多 变量 定义 导致 所 有 子 模块 一 起 会 消耗 更 多 的 内 存 。 此 外 ， 执 行 
时 间 也 可 能 恶化 。 

这 种 软件 模块 的 界面 定义 必须 规定 一 次 ， 即 静态 的 。 它 在 一 个 新 车 模型 里 或 
者 在 一 个 新 微 控 制 器 里 的 复 用 ， 该 定义 不 应 该 改变 。 这 种 界面 必须 保持 在 覆盖 所 
有 模型 的 数据 库 里 。 

还 有 一 个 需求 是 数据 库 的 存在 ， 单 一 可 复 用 的 软件 部 件 和 /或 子 部 分 储存 在 
该 数据 库 中 。 一 个 “统一 的 数据 格式 ”在 汽车 制造 商 们 、 他 们 的 第 一 级 供应 商 
和 软件 供应 商 们 的 不 同 软件 开发 团队 之 间 交 换 数据 是 必需 的 。 为 了 补充 并 使 用 数 
据 库 的 信息 和 可 复 用 软件 组 件 , “过程 ”必须 定义 成 一 个 标准 的 开发 过 程 。 尤 其 
是 这 些 过 程 一 定 要 描述 来 自 不 同 渠 道 的 软件 集成 过 程 和 一 个 包含 制造 商 和 供应 商 
的 角色 模型 。 

为 了 文 持 这 些 流程 ， 我 们 需要 一 个 无 颖 的 “工具 链 ”， 也 就 是 说 ,一 套 与 界 
面 紧 密 匹 配 的 工具 。 因 此 一 个 重要 的 问题 就 是 “统一 建 模 准则 ”的 使 用 。 同 样 
的 ， 应 该 在 供应 商 和 制造 商 之 间 定 义 标准 ， 以 有 效 地 促进 软件 模块 的 互 换 性 。 从 
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一 个 汽车 制造 商 的 观点 来 看 ， 存 在 “不 同 种 类 的 复 用 ”。 根 据 一 个 软件 组 件 的 复 
用 种 类 一 一 基于 同一 个 模型 或 者 基于 不 同 模 型 范围 一 一 不 同方 面 必须 加 以 考虑 。 

当然 ， 安 全 方面 必须 加 以 考虑 。 在 文献 [7] 中 ， 提 到 了 开发 重要 功能 的 必 
要 性 。Simonot - Lion 从 几 个 方面 上 给 出 了 概述 ， 例 如 ， 认 证 过 程 、 时 间 触 发 构 
架 和 软件 架构 模型 。 


8.3 ”支持 汽车 上 应 用 软件 的 复 用 


在 匹 茨 堡 的 卡 内 基 梅 隆 大 学 的 软件 工程 研究 所 中 开发 了 一 种 名 叫 “产品 线 
KER” (PLP) 的 过 程 模型 :8] 。 在 汽车 领域 中 ， 基 于 应 用 软件 重复 使 用 的 这 种 方 
法 ,我 们 提出 了 一 个 框架 。 

因此 ， 概念 “产品 线 ”( 第 7 章 ) 如 下 定义 : 

“软件 产品 线 是 一 组 共享 一 组 共同 的 、 受 管理 的 特征 的 软件 密集 型 系统 ， 它 
们 满足 特定 细 分 市 场 或 任务 的 具体 需求 ， 并 以 既定 的 方法 从 规定 的 一 套 通用 的 核 
心软 件 中 发 展 而 来 。 

汽车 制造 商 们 应 用 PLP 的 条 款 和 处 理 模型 到 复 用 的 软件 上 。 图 8. 3 显示 了 所 
提出 的 框架 组 件 。 其 中 图 8.3 上 部 显示 了 通用 的 PLP 方法 ， 而 底部 描述 的 是 汽车 
制造 商 们 使 用 的 PLP 实例 ， 包 括 了 必要 的 工具 。 


Fn SRL 


dA dd 


汽车 制造 商 过 程 适应 


D-H- 


TH 


OS Gp 数据 库 
图 8.3 汽车 PLP 应 用 程序 的 框架 组 件 
本 节 首 先 解释 PLP 的 一 般 流程 (8. 3. 1 节 )。 其 次 是 讨论 如 何 模块 化 所 谓 的 
核心 软件 (8.3.2 节 )， 因 此 最 核心 的 资产 是 存储 在 数据 库 中 的 ， 它 被 称 为 “也 
数 库 ”( 第 8.3.3 节 )。 此 外 ， 我 们 介绍 了 如 何 使 用 函数 库 内 容 来 开发 产品 ， 并 
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来 构建 模块 和 使 用 标准 软件 核心 (SSC) (第 8.3.4 节 ) 。 需 要 支持 这 个 流程 所 需 
的 工具 在 8. 3. 4. 2 节 有 所 描述 。 


8.3.1 流程 


根据 文献 [8] ， 产 品 线 上 的 流程 分 为 三 种 不 同 的 领域 : 

© 核心 软件 的 发 展 : 当 发 展 核心 软件 时 ， 首 先 创建 一 个 列表 产品 ， 这 从 今 
天 的 角度 来 看 是 可 取 的 。 此 列表 被 定义 为 “产品 适用 范围 "， 因 此 ， 它 包含 也 可 
能 在 未 来 实现 的 而 不 是 目前 发 展 目标 的 产品 。 产 品 列表 代表 的 边界 ， 这 应 该 是 仔 
细 考 虑 的 。 如 果 产 品 范围 太 宽 ， 那 么 许多 核心 软件 只 可 以 使 用 一 次 。 在 这 种 情况 
F, 与 常规 研发 相 比 ， 它 没有 优势 。 如 果 产 品 范围 过 窄 ， 那 么 未 来 产品 种 类 将 会 
受到 各 种 不 必要 的 限制 。 

。 产品 研发 : 除了 产品 适用 范围 和 核心 软件 外 ， 还 有 产品 的 具体 要 求 。 随 
着 核心 软件 的 建立 ， 新 产品 范围 内 的 产品 开发 等 同 于 把 一 些 核 心软 件 组 合 起 来 。 
组 合流 程 的 描述 被 称 为 “生产 计划 ”。 生 产 计划 是 一 个 产品 的 总 体 描 述 和 开发 ， 
产品 研发 应 该 实现 产品 的 具体 要 求 。 根 据 产品 计划 的 精度 ， 产 品 研 发 必须 在 考虑 
“变化 节点 ”下 进行 。 在 图 8. 4t 中， 核心 软件 用 矩形 表现 出 来 ， 相 应 流程 用 三 
角形 表示 。 把 这 些 流 程 放 在 一 起 即 是 生产 计划 ,根据 这 些 计 划 ， 产 品 被 开发 
出 来 。 

。 管理 : 管理 分 为 一 个 技术 管理 和 一 个 组 织 管理 。 组 织 管 理 必须 提供 正确 
组 织 的 形式 和 所 需 的 资源 (这 也 包括 员工 的 培训 )。 技 术 管 理 负责 实现 核心 软件 
开发 和 产品 开发 。 

一 方面 ， 所 提出 的 框架 内 流程 的 工程 任务 包含 了 产生 和 归档 可 重用 软件 组 件 
到 数据 库 中 ; 另 一 方面 ， 必 须 使 用 这 些 软件 组 件 来 开发 新 产品 。 


产品 线 适 用 范围 


核心 资产 























图 8.4 PLP 中 的 产品 研发 (卡耐基 梅 隆 大 学 软件 工程 学 院 ) 
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在 文献 [10] 中 ,讨论 了 汽车 域 的 一 个 实际 应 用 的 例子 ， 且 描述 的 方法 在 
产品 开发 过 程 中 允许 控制 产品 的 可 变性 。 

由 于 车 载 嵌 入 式 的 应 用 大 多 数 是 分 布 式 和 联网 的 ， 因 此 我 们 提出 了 一 种 方 
法 ， 该 方法 明确 地 考虑 这 些 属性 ， 并 进而 专注 于 功能 软件 的 模块 化 和 与 SSC 的 
联系 。 


8.3.2 模块 化 汽车 软件 组 件 研发 


图 8. 5 显示 了 开发 一 个 新 模型 的 完整 电子 系统 的 流程 ， 以 及 阶段 之 间 的 循环 
依赖 。 使 用 “功能 架构 ”， 我 们 表示 了 ECU 模块 (软件) 的 定义 和 分 配 。 此 分 














配 导致 的 通信 关系 定义 了 信和 叶 和 通 Pr 

过 车 载 总 线 系 统 交 换 的 消息 (通信 》 | 
的 定义 )。“ 硬 件 系 统 ” 由 带 中 央 

微 控 制 器 的 ECU 组 成 ,它们 需要 


有 足够 的 计算 能 力 、 芯 片上 的 外 设 

(例如 ， 通 信 控 制 器 、 连 接 传感器 
和 执行 器 的 接口 ) 和 更 多 的 电子 元 
alld oo 一 

由 此 ， 三 个 主要 的 流程 步 又 必 
须 按 迭代 的 方式 进行 ， 这 是 因为 每 图 8.5 汽车 电子 系统 产品 开发 流程 
个 步骤 取决 于 其 他 步 又。 因此 ， 给 
ECU 分 配 软 件 模块 必须 在 定义 硬件 系统 之 后 进行 。 然 而 ， 这 种 分 配 依赖 于 ECU 
的 内 存 和 处 理 能 力 。 同 样 重要 的 是 总 线 系统 的 带宽 限制 问题 ， 它 是 否 允许 在 各 个 
软件 模块 之 间 传 输 必 要 的 信号 。 

这 个 流程 需要 模块 化 软件 组 件 摆脱 对 硬件 部 件 的 依赖 并 独立 于 硬件 部 件 。 模 
块 化 的 软件 组 件 根据 可 移动 性 和 重用 性 的 定义 ， 也 能 够 在 这 个 特殊 流程 中 实现 复 
用 。 为 了 支持 根据 它们 的 可 移动 性 和 重用 性 进行 的 软件 分 类 ， 下 面 介绍 以 下 术 
语 :“ 固 件 ( 指 存 储 在 存储 器 而 非 软件 中 的 指令 )”“ 基 本 软件 ”“ 适 应 软件 ”和 
“功能 的 软件 ”。 

。 固件 是 ECU 软件 中 依赖 于 硬件 的 部 件 。 案 例 有 : 通信 驱动 器 、 用 于 模 
拟 -数字 转换 器 的 驱动 器 ， 或 脉 串 宽度 调制 器 的 驱动 器 。 

。 基础 软件 是 软件 ， 它 独立 于 应 用 软件 和 硬件 。 例 如 应 用 软件 模块 和 通信 
驱动 器 之 间 的 通信 交互 层 。 它 们 并 非 依赖 于 硬件 ， 因 为 它们 采用 了 通信 驱动 器 的 
应 用 程序 可 编程 接口 (API) ( 见 8.3.4 节 )。 

两 类 基本 软件 和 固件 今天 已 被 重用 。 尽 管 组 件 的 分 区 不 仅 是 相对 于 可 重用 性 
进行 的 (参见 8.3.4 节 )， 但 它们 还 是 被 称 为 “标准 软件 ”。 分 解 标准 软件 的 另 
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一 个 原因 ， 是 通过 移 除 标准 软件 中 不 需要 的 组 件 以 满足 不 同类 别 的 电子 控制 单元 
( ECU ) 的 需求 的 可 能 性 。 

我 们 定义 剩余 的 两 种 类 型 软件 如 下 : 

。 适应 软件 是 软件 特定 的 应 用 程序 部 分 ， 它 使 功能 软件 适应 汽车 模型 ， 并 
建立 从 功能 软件 到 固件 和 基本 软件 的 连接 。 

© 功能 软件 是 软件 的 特定 功能 部 分 ， 它 独立 于 所 使 用 的 汽车 模型 。 

使 用 这 些 新 术语 ， 组 件 的 类 型 可 以 根据 可 移动 性 和 重用 的 类 型 来 区 分 开 来 。 
考虑 这 个 抽象 模型 ， 三 种 复 用 可 以 定义 为 : 

。 重复 使 用 不 同 的 ECU, 

。 重复 使 用 不 同 的 微 控 制 器 平台 。 

。 重复 使 用 不 同 的 模型 范围 。 

软件 类 型 的 分 类 及 相应 的 复 用 类 型 见 表 8. 1。 这 种 分 类 指导 了 模块 化 如 何 执 
行 以 获得 最 大 的 可 移动 性 和 再 利用 的 效果 。 例 如 ， 一 个 通信 驱动 程序 (固件 ) 
可 以 在 不 同 的 ECU 上 和 不 同 的 模型 范围 内 重复 使 用 (假设 它们 使 用 同一 个 家 族 
的 微 控 制 器 )， 但 不 在 不 同 的 微 控 制 器 平台 上 使 用 ， 这 是 因为 通常 的 通信 控制 器 
在 不 同 的 微 控制 器 上 是 相当 不 同 的 。 另 一 方面 ， 基 于 推荐 软件 层 的 功能 软件 层 可 
以 在 ECU、 微 控制 器 和 模型 上 重复 使 用 。 

表 8.1 与 复 用 有 关 的 软件 分 类 















































在 不 同 的 对 象 上 复 用 BCU pC -平台 on 
固件 是 a z 
基本 软件 是 是 = 
适应 软件 7 是 否 
功能 软件 是 是 是 


8.3.3 MAE 


函数 库 包含 核心 软件 ， 如 图 8.3 所 示 。 问 题 是 什么 核心 软件 是 软件 重用 必 不 
可 少 的 。 参 考 文献 [8] 讨论 了 一 般 哪些 内 容 构 造 了 核心 软件 。 下 面 将 介绍 汽车 
制造 商 函 数 库 的 核心 软件 ， 由 此 考虑 如 8. 2 节 所 描述 的 特殊 要 求 。 函 数 库 不 仅 要 
包含 可 重用 软件 的 说 明 。 而 且 硬 件 和 总 线 系统 说 明 也 是 一 个 重要 组 成 部 分 。 

o 软件 组 件 : 函数 库 的 一 个 重要 成 分 就 是 可 重用 软件 组 件 。 在 这 里 ， 可 以 
根据 不 同类 别 的 软件 和 它们 正在 使 用 的 不 同 编程 语言 来 区 分 。 

正如 8. 3.2 节 中 所 描述 的 ， 软 件 分 为 固件 、 基 本 软件 、 适 应 软件 和 功能 软 
件 。 此 外 ， 软 件 组 件 的 特征 必须 存储 在 函数 库 中 。 例 如 ， 各 个 软件 组 件 和 子 系统 
的 代码 大 小 和 最 坏 情况 下 的 执行 时 间 对 于 一 个 适当 的 到 操作 系统 的 实时 集成 来 
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说 ， 它 们 是 重要 的 信息 。 对 于 软件 组 件 的 每 个 支撑 硬件 平台 来 说 ， 该 最 坏 情况 下 
的 执行 时 间 必 须 确定 。 例 如 ， 使 用 如 文献 [11] 那样 的 、 基 于 模型 的 自动 方法 ， 
该 执行 时 间 一 定 能 确定 。 另 一 种 可 能 性 就 是 在 整合 过 程 中 获取 此 信息 。 这 种 方法 
的 优点 是 可 以 考虑 环境 。 例 如 ， 在 某 一 确定 的 汽车 模型 中 ， 有 一 些 函 数 是 从 未 使 
用 过 的 ， 且 代码 得 到 优化 ， 最 坏 情况 下 的 执行 时 间 大 为 减 小 。 这 个 方法 一 般 将 得 
出 最 坏 情 况 下 的 执行 时 间 ， 它 比 实际 执行 时 间 更 严格 。 

为 了 进一步 改进 软件 重用 技术 要 求 ， 测 试 计 划 (用 什么 测试 设备 、 何 时 测 
试 及 对 何 种 测试 对 象 测试 ) 和 测试 案例 〈 介 绍 测试 时 如 何 测试 被 测 设备 的 个 别 
属性 ) 也 要 存储 (参见 第 11 章 ) 。 

。 接口 : 软件 组 件 之 间 的 接口 必须 是 函数 库 的 一 部 分 。 在 汽车 系统 中 ， 软 
件 组 件 之 间 的 通信 可 以 通过 数据 总 线 或 在 ECU 内 部 来 实现 。 软 件 组 件 之 间 的 接 
口 必须 全 局 定义 ， 新 的 软件 组 件 必 须 使 用 已 经 有 的 接口 定义 ， 这 将 确保 不 同 软件 
组 件 的 接口 兼容 性 。 

汽车 上 必须 描述 的 接口 数量 是 非常 多 的 。 为 了 能 够 掌控 这 个 复杂 性 ， 有 必要 
规定 接口 类 型 ， 对 应 类 型 接口 实例 是 可 以 推导 出 来 的 。 

接口 类 型 的 描述 不 能 只 包含 通过 接口 交换 的 信号 名 称 和 位 数 大 小 ， 还 有 必须 
定义 的 必需 信息 就 是 支撑 的 通信 类 型 接口 ， 它 允许 系统 设计 者 能 够 在 通信 总 线 上 
正确 绘制 信号 。 一 旦 接口 实例 被 绘制 到 软件 组 件 上 ， 那 么 就 必须 指定 时 序 要 求 ， 
它 也 影响 决策 一 一 就 是 一 个 特定 的 通信 总 线 系统 是 否 合适 。 

接口 类 型 的 语义 是 男 一 个 重要 的 内 容 。 例 如 ， 一 旦 用 户 按 下 通 控 键 ， 只 要 按 
住 键 至 少 50ms， 那 么 “还 控 键 ” 类 接口 描述 的 信号 就 接 通 了 。 这 些 语 义 的 描述 ， 
需要 一 个 正式 的 方法 ， 目 的 是 为 了 验证 组 件 之 间 互 操作 性 的 属性 (输入 的 互 操 
作 性 、 定 时 互 操作 性 等 ) 。 

。 功能 性 网 络 : 功能 性 网 络 把 软件 组 件 结合 到 执行 汽车 功能 的 总 软件 系统 
中 。 这 里 ， 函 数 库 完美 地 支持 层次 化 分 解 ， 目 的 是 为 了 减少 必须 进行 管理 的 软件 
的 复杂 性 。 

针对 软件 组 件 的 接口 定义 的 一 个 附加 组 件 就 是 所 谓 的 误差 矩阵 。 当 跟踪 现场 
生产 汽车 系统 误差 时 ， 此 误差 矩阵 可 以 提供 帮助 。 误 差 矩 阵 包 含 了 这 样 的 信 
息 一 一 就 是 什么 样 的 软件 组 件 输出 取决 于 输入 。 有 了 误差 矩阵 ， 服 务 (器 ) 就 
比较 容易 发 现 软 件 错 误 。 在 文献 [12] 中 ， 可 以 找到 更 详细 的 说 明 。 

。 硬件 平台 和 总 线 系统 介绍 : 在 功能 库 中 包含 的 整个 软件 不 独立 于 它 应 该 
在 上 面 运行 的 硬件 。 软 件 的 执行 依赖 于 人 处 理 器 的 类 型 、 内 存 大 小 、 时 钟 周期 或 其 
至 使 用 的 编译 器 。 因 此 ,“ 硬 件 平台 描述 ”必须 存储 在 函数 库 中 。 

正如 前 面 提 到 的 ， 在 功能 网 络 中 ， 软 件 组 件 之 间 的 通信 部 分 使 用 了 总 线 系 
统 。 这 些 总 线 系统 可 以 不 同 的 方式 加 以 区 分 ， 例 如 数据 传输 的 速度 、 使 用 的 协议 
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和 等。 因此， 对 于 人 研发 一 种 新 车 型 来 说 ， 也 有 必要 存储 相关 数据 到 函数 库 的 “总 
线 系统 描述 ”中 。 

e 实施 : 对 于 软件 组 件 的 实施 (或 “行为 描述 ”) 来 说 ， 可 以 使 用 基于 模 
型 的 方法 和 工具 。 根 据 这 些 模型 ,通常 可 以 导出 C 代码 。 但 是 ， 当 与 手写 C 代 
码 相 比 时 ， 生 成 的 代码 可 能 会 显示 出 性 能 上 的 劣势 。 另 一 方面 ， 基 于 模型 的 软件 
组 件 优点 是 : 它们 可 以 很 容易 地 适应 不 同 的 硬件 平台 。 因 此 ， 把 两 种 类 型 一 一 手 
写 的 和 生成 的 代码 存储 在 取决 于 软件 的 函数 库 中 ， 看 起 来 可 能 是 有 用 的 。 

数据 储存 标准 

函数 库 中 所 有 提 到 的 数据 必须 存储 在 数据 库 中 。 我 们 为 此 目的 ， 建 议 使 用 一 
个 标准 化 的 数据 模型 。 

在 EAST - EEA 项 目 中 (13] (www. east - eea. net, 参见 第 9 章 ) ， 开 发 了 一 种 
架构 描述 语言 (ADL) 04 ， 以 能 够 说 明 不 考虑 硬件 的 功能 。 在 本 节 描 述 的 功能 
性 方法 中 ，ADL 语言 允许 描述 软件 结构 (但 不 是 必需 的 行为 ) 。 

对 于 这 样 一 个 数据 模型 的 另 一 个 例子 是 MSRMED0CL5261 。 它 定义 了 数据 如 
何 存储 到 数据 模型 中 。 数 据 模型 在 可 扩展 标记 语言 数据 类 型 定义 ( XML DTD ) 
中 规定 。 

另 一 个 重要 项 目 是 汽车 开放 系统 架构 (AUTOSAR), BiH EXTA 
模块 化 的 软件 架构 。 在 这 里 ， 也 考虑 整合 来 自 不 同 软件 供应 商 的 软件 组 件 的 重要 
方面 。 


8.3.4 ERRA RRE 


8.3.4.1 汽车 标准 软件 核心 

对 于 基于 模块 化 软件 部 件 和 其 他 储存 软件 的 产品 发 展 ， 使 用 了 汽车 标准 软件 
核心 (SSC) 。 标 准 软件 包含 了 所 有 可 以 标准 化 的 任务 ， 也 就 是 说 ， 这 些 任务 在 
某 种 程度 上 与 指定 范围 无 关 。 比 如 ， 这 些 任 务 就 像 控 制 硬 件 驱 动 器 、 识 别 并 储存 
出 现 的 错误 ， 以 及 控制 网 络 的 链接 。 这 些 功 能 可 当做 分 开 的 、 可 重复 使 用 的 模块 
来 实施 。 所 有 这 些 标准 化 的 软件 组 件 就 是 SSC。 

SSC 是 ECU 软件 的 一 部 分 ， 其 中 的 软件 复 用 早已 实施 一 一 即使 ECU 的 供应 
商 变换 了 。 一 个 软件 组 分 的 可 重复 使 用 的 程度 取决 于 软件 的 分 类 ， 正 如 8.3.2 节 
所 提 到 的 。 

图 8.6 展示 了 大 众 集团 里 的 SSC 结构 。 首 先 ， 它 包括 了 一 个 符合 OSEK 标准 
的 操作 系统 [8] 。 通 信和 驱动 程序 (CAN 和 LIN) 是 高 层 协议 组 件 的 基础 ， 它 们 包 
括 : 网 络 管理 (NM) 、 控 制 和 显示 协议 (BAP， 德 国 用 于 操作 和 显示 协议 ) 、 传 
送 协议 (TP) 或 信号 滤波 层 OSEK COMI2] 。 诊 断 功能 由 模块 “诊断 处 理 者 ” 
和 “标准 诊断 服务 ”所 支持 。 基 本 硬件 提取 由 输入 /输出 (IO) 驱动 程序 和 库 
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模块 来 施行 ， 它 们 负责 处 理 与 EEPROM、 模 拟 - 数字 转换 器 、 脉 宽 调制 器 、 外 
部 接口 等 的 接 驶 。 最 终 ， 一 个 单独 的 、 引 导 加 载 程 序 软件 通过 汽车 的 诊断 界面 ， 
允许 对 每 一 个 带 刷新 内 存 的 ECU 编程 。 更 详细 的 解释 可 以 在 文献 [20] 中 找到 。 












诊断 事件 处 埋 
(DEH) 


OSEK | OSEK 


BAP NM 


ae CAN/LINSR hae 


图 8.6 SSC 的 案例 : 大 众 团队 的 SSC 


SSC 不 仪 支持 与 硬件 无 关 的 界面 ， 而 且 也 支持 被 实际 应 用 软件 使 用 的 、 在 微 
控制 姻 上 的 完整 基础 架构 服务 。 这 种 服务 也 促使 了 不 再 依赖 使 用 的 微 控 制 妖 平台 
的 应 用 程序 的 研发 。 

SSC 和 功能 软件 之 间 的 界面 一 般 通 过 应 用 程序 界面 (API) 来 实现 。API 的 
一 个 典型 例子 就 是 OSEK COM 规范 。 所 描述 的 这 个 功能 库 包含 了 所 有 构建 标准 
化 软件 模块 API 的 必要 信息 。 因 此 ， 正 如 8.3.2 节 所 提 到 的 ， 标准化 软件 模块 的 
组 合体 现 了 软件 有 效 重 复 使 用 的 基础 。 

因为 SSC 的 架构 不 但 要 为 重复 利用 来 设计 ， 而 且 重 复 利 用 效果 还 可 以 进 一 
步 提高 。 尽 管 如 此 ， 标 准 化 软件 依然 在 功能 软件 的 重复 利用 上 面 起 着 重要 作用 。 
考虑 到 这 个 方面 ， 一 个 叫做 AUTOSAR 的 工业 公司 ,在 2002 年 开始 了 旨 在 进 一 
步 发 展 和 标准 化 已 经 存在 的 标准 软件 架构 的 工作 [2 。AUTOSAR 的 规范 主要 集 
中 在 软件 组 件 之 间 界 面 和 这 些 组 件 完成 的 功能 的 描述 上 面 。AUTOSAR 的 规范 并 
不 指定 特定 的 实施 ， 因 为 这 些 要 留 给 提供 AUTOSAR 兼容 标准 软件 的 供应 商 
来 做 。 

图 8.7 给 出 了 关于 AUTOSAR 软件 组 件 和 界面 的 概述 。 核 心 元 素 是 AUTO- 
SAR 的 运行 环境 ( RTE)， 它 提供 了 一 种 通信 抽象 的 应 用 软件 。 在 我 们 的 术语 
H, RTE 是 一 款 典 型 的 适应 性 软件 。 在 RTE 的 正 下 方 ， 此 图 表明 了 系统 服务 
(比如 ， 定 时 器 和 计数 器 ) 、 存 储 服 务 (比如 ,访问 EEPROM)、 通 信服 务 (HE 
如 ， 把 应 用 程序 的 信号 打包 成 CAN 信息 ， 并 以 定时 的 方式 管理 发 送 ) | YO 访问 
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(比如 ， 模 拟 -数字 信号 转换 ) 和 称 作 复杂 设备 驱动 程序 (比如 ， 处 理 需要 ECU 
硬件 提供 直接 支撑 且 不 能 标准 化 的 指定 应 用 软件 外 设 ) 之 间 的 纵向 差别 。 此 外 ， 
此 图 也 表明 了 各 种 服务 、 抽 象 层 和 驱动 程序 之 间 的 水 平 差别 。 
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图 8.7 AUTOSAR 软件 架构 


更 多 的 有 关 AUTOSAR (第 2 章 ) 的 信息 可 以 在 参考 文献 [2] 中 以 及 AU- 
TOSAR 的 网 站 上 查 到 。 

8.3.4.2 研发 流程 中 所 需 的 工具 

很 显然 ,到 目前 为 止 描述 的 任何 流程 都 需要 工具 的 支持 。 在 一 个 典型 的 研发 
环境 中 ,工具 使 用 者 的 目标 是 通过 研发 工具 间 的 转换 过 滤器 ， 获 得 一 个 无 缝 的 工 
具 链 。 当 引入 功能 库 的 时 候 ， 这 个 做 法 并 不 适用 。 对 于 一 个 企业 和 部 门 所 使 用 的 
每 一 套 工具 ， 比 如 不 得 不 开发 的 过 滤器 ， 它 们 把 数据 库 中 的 数据 转换 到 工具 中 ， 
反之 亦 然 。 同 时 ， 因 为 每 套 工具 的 语言 覆盖 范围 都 不 同 ， 所 以 难免 在 每 次 转换 都 
会 有 一 些小 的 信息 遗失 。 只 要 沿 着 V 模型 的 一 个 方向 进行 研发 ， 那 么 是 不 存在 
问题 的 。 一 旦 研发 在 V 模型 的 不 同位 置 上 同时 进行 (同步 工程 )， 那 么 数据 就 再 
不 能 自动 保持 一 致 性 了 。 

应 对 这 个 问题 的 方法 就 是 像 8. 3. 3 节 中 提 到 的 标准 化 数据 模型 。 这 些 工具 就 
是 功能 库 中 的 数据 编辑 器 。 在 这 种 想法 下 ， 一 个 工具 链 就 是 一 套 工 作 于 公共 数据 
库 、 不 需要 人 工 用 户 交互 的 工具 。 

8.3.4.2.1 核心 软件 研发 

核心 软件 研发 所 需 的 工具 必须 支持 不 同等 级 的 系统 说 明 : 

。 需求 是 使 用 者 对 于 车 辆 期 待 的 文本 叙述 。 为 了 应 付 这 种 需求 ， 适 用 如 
DOORS 那样 的 工具 是 有 道理 的 ，DOORS 具有 像 自 动 需 求 密 钥 生 成 、 扩 展 搜索 引 
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擎 和 文本 生成 可 能 性 的 特点 。 

e 接口 是 一 个 应 用 程序 或 模块 的 所 有 连接 点 ， 通 过 这 些 连 接点 ， 信 息 从 各 
个 模块 输入 或 输出 。 因 此 需要 一 个 工具 来 管理 这 些 外 部 界面 。 同 时 内 部 数据 对 于 
调试 目的 来 说 ， 也 是 有 意思 的 。 通 过 数据 字典 ， 可 以 在 一 个 工具 上 管理 外 部 界面 
和 内 部 数据 。 

。 系统 架构 就 是 功能 网 络 、 人 硬件 架构 、 硬 件 与 功能 网 络 之 间 的 映射 。 系 统 
架构 可 以 由 统一 的 模型 语言 (比如 UML) TRARA DaVinci 这 样 的 汽车 指定 
工具 来 表达 。 

o 特性 描述 既 可 以 是 C 语言 ， 也 可 以 是 像 UML 这 样 不 同 建 模 语言 建立 的 模 
型 。 汽 车 工业 中 ， 另 外 一 个 常见 的 选择 是 MatlabySimulinkvStateflowL25] 。 像 Tar- 
getlinki2 这 样 的 工具 可 从 模型 中 生成 C 代码 ， 即 使 目标 平台 并 不 支持 浮 点 运算 
代码 。 

8.3.4.2.2 产品 研发 所 需 的 工具 

大 多 数 标准 化 的 软件 组 件 ， 如 CAN 总 线 的 网 络 驱 动 程序 :”] 、OSEK 操作 系 
58) ， 都 必须 适用 于 指定 的 网 络 节点 和 硬件 平台 。 如 果 没 有 充足 的 工具 支持 ， 
它们 将 无 法 运行 。 

一 个 支持 这 种 组 件 设置 的 工具 需要 关于 几 个 控制 单元 之 间 联 系 的 信息 。 每 个 
组 件 都 需要 对 于 组 件 功能 非常 重要 的 特殊 的 数据 。 现 今 设 置 工 具 的 多 样 性 是 因为 
工具 所 基于 的 不 同 的 数据 格式 。 对 于 系统 集成 者 来 说 ， 他 是 唯一 一 个 知道 控制 单 
元 间 全 部 联系 的 人 ， 这 意味 着 需要 很 大 的 努力 才能 处 理 好 几 种 数据 格式 和 潜在 导 
入 错误 的 风险 。 因 此 ， 必 须 创 建 一 个 应 用 于 通信 信息 的 单一 数据 库 ， 就 像 8. 3.3 
节 中 所 提 到 的 。 

创建 工具 通过 集成 代码 生成 器 实现 了 软件 组 件 改编 。 但 也 可 以 发 现今 天 的 
SSC 的 一 个 不 足 。 对 于 整个 SSC， 没 有 一 个 唯一 的 设置 界面 ， 但 是 许多 部 件 都 存 
在 特殊 的 构建 工具 。 最 终 ， 只 能 优化 软件 的 部 件 ， 而 缺少 一 个 工具 来 支撑 优化 整 
个 系统 。 这 种 优化 取决 于 系统 研发 人 员 的 经 验 和 知识 。 尽 管 如 此 ， 已 经 开始 努力 
在 一 个 开放 框架 中 使 用 统一 的 用 户 界面 来 集成 不 同 的 工具 。 


8.4 ”应 用 实例 


本 节 将 举例 说 明 软 件 模 块 化 如 何 促 进 软 件 组 件 的 重复 使 用 。 将 通过 功能 外 部 
灯 来 说 明 建 立功 能 性 架构 和 把 该 架构 在 硬件 上 实施 的 一 些 重点 。 选 择 这 个 功能 是 
因为 它 不 改变 界面 且 能 在 不 同 车 辆 模型 上 重复 使 用 。 

这 种 功能 的 需求 源 自 于 已 存在 的 规范 。 很 显然 ， 汽 车 尾灯 的 划分 存在 差异 。 
这 点 对 于 一 个 汽车 生产 商 制造 的 不 同 汽车 车 型 尤其 明显 。 图 8. 8 展示 了 所 预期 的 
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把 接 通 / 断 开 状 态 和 制 动 灯 开 / 关 状态 组 合 后 汽车 尾灯 的 表现 。 我 们 进一步 假设 其 
中 一 辆 车 一 侧 只 有 一 个 灯泡 ， 而 另 一 辆 车 每 边 各 有 两 个 灯泡 。 于 是 ， 当 行驶 灯亮 
起 及 制 动 灯 腕 起 时 ， 存 在 一 个 不 同 的 亮度 等 级 。 

(vee i Gl 汽车 2 ] 


E E E | ces 
O O EO OE aa 
O O OM 8 Com) 
O Oo oo 


| | | 
EEIT 左 尼 灯 外 侧 灯 | AEK ANE 
右 尾灯 左 尾 灯 内 侧 灯 右 尾 灯 外 侧 灯 


图 8.8 汽车 尾部 信号 灯 的 不 同 布置 


外 部 灯光 应 用 软件 通过 SSC 的 界面 控制 灯泡 。 对 于 每 边 各 有 两 个 灯泡 的 车 ， 
界面 是 “左边 外 侧 尾 灯 ”“ 左 边 内 侧 尾灯 ”“ 右 边 内 侧 尾灯 ”和 “右边 外 侧 尾 
灯 ”。 对 于 每 边 只 有 一 个 灯泡 的 汽车 来 说 ， 界 面 是 “左边 尾灯 ”和 “右边 尾灯 ”。 
男 外 ， 第 三 个 灯 一 一 制 动 灯 也 必须 能 操控 。 基 础 层 也 支持 输入 界面 。 其 中 一 些 是 
连接 其 他 ECU 的 网 络 界面 ， 另 一 些 是 ECU 中 的 内 部 界面 一 一 外 部 灯光 功能 就 位 
于 此 处 。 在 图 8.9 中 ， 可 以 看 见 两 种 不 能 重复 使 用 的 软件 组 件 。 这 两 个 软件 组 件 
都 按照 整体 模块 来 使 用 ， 因 此 无 法 重复 使 用 。 其 中 的 硬件 在 由 控制 尾灯 的 模块 的 
输出 信号 中 直接 反映 出 来 ， 因 此 当 对 其 他 尾灯 组 合 使 用 同一 输入 源 时 ， 这 个 模块 
不 能 复 用 。 
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图 8.9 不 可 重用 的 软件 组 件 





在 图 8. 10 中 ， 用 于 实现 灯光 控制 逻辑 的 软件 组 件 被 抽取 (外 部 灯光 常用 )。 
每 一 辆 汽车 模型 不 同 的 改编 软件 组 件 被 当做 界面 使 用 。 引 入 两 个 独立 的 信号 
制 动 灯 和 行驶 灯 。 这 些 信号 是 新 产生 模块 “外 部 灯光 常用 ”的 输出 信号 以 及 每 
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一 种 外 部 灯光 组 合 需要 的 改编 模块 的 输入 信号 。 
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图 8.10 可 重用 的 应 用 软件 组 件 
基础 硬件 也 必须 考虑 。 图 8. 11 显示 了 在 不 同方 案 中 硬件 可 能 有 很 大 变化 。 
在 左边 的 方案 1 中 ， 灯 泡 由 数字 输入 和 输出 端口 直接 控制 。 在 图 右 侧 的 方案 2 
中 ,第 三 个 灯 一 一 制 动 灯 依然 由 一 根 独 立 的 数据 线 操控 。 因 此 尾灯 被 称 作 智能 执 
行 器 。 为 了 减少 线束 ， 主 要 装置 通过 LIN 总 线 来 控制 这 个 智能 执行 器 。 
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汽车 1 车 身 计 算 机 模块 汽车 2 车 雯 计算 机 模块 
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图 8.11 不 同 的 硬件 方案 
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虽然 ， 这 是 一 个 十 分 简单 的 例子 。 但 是 我 们 相信 这 个 案例 至 少 表明 了 原理 ， 
且 这 个 方法 一 定 可 以 应 用 于 更 复杂 的 场合 中 。 

为 了 解 汽车 工业 中 处 理 的 系统 真正 的 复杂 性 ， 将 简要 介绍 另 一 个 真实 案例 ， 
也 就 是 控制 倒车 灯 。 在 图 8. 12 中 ， T 
应 该 打开 ， 9 驶 人 选择 挂 倒 档 时 什么 动作 应 该 被 执行 。 

首先 ， 变 速 器 传递 了 驾驶 人 选择 挂 倒 档 的 信息 。 在 所 有 奥迪 车 上 ， 这 个 信息 
CORES PME, EHP — CESHERMM ECU) NIATE SITE 
制 。 它 决定 尾灯 必须 打开 ， 且 传递 这 个 信息 到 为 一 个 车 身 控制 ECU (后 面 ) P, 
该 ECU 实际 上 接 通 了 尾灯 。 同 样 的 信息 也 使 用 于 车 门 控制 模块 上 ， 它 使 乘客 那 
边 的 后 视 镜 略微 下 倾 ， 前 提 是 如 果 驾 驶 人 通过 他 那 侧 车 门 控制 面板 启动 了 这 个 功 
能 。 与 此 同时 ， 车 项 模块 不 必 微 降 自 动 外 后 视 镜 。 最 终 ， 如 果 这 个 车 有 挂车 ， 那 
么 必须 通过 挂车 ECU 接 通 挂车 尾灯 ， 且 奥迪 驻 车 系统 必须 关 掉 尾部 传感器 ， 以 


免 一 直 有 一 个 警告 声音 干扰 驾驶 人 。 
gR | QA 汽车 尾灯 
后 ECU a. 
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oe 接 通 启动 后 视 镜 
挂 倒 档 下 倾 ? 
ea poA 





HEE 


8.5 结论 





ee Ene 对 汽车 领域 软件 重复 使 用 面临 的 挑战 进行 了 
我 们 解释 了 汽车 环境 中 重复 使 用 所 面临 的 挑战 ， 并 指出 了 一 个 一 级 供应 商 和 
一 个 汽车 生产 商 关 于 复 用 的 不 同 概念 。PLP 流程 模型 用 来 导出 重复 使 用 功能 软件 
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所 需要 的 条 件 。 此 外 ， 也 介绍 了 一 个 根据 
有 人 认为 先决 条 件 是 把 当前 订购 黑箱 控制 单元 流程 转变 为 一 个 软件 组 件 可 以 被 


复 使 用 的 流程 ， 即 使 是 在 改变 了 供应 商 之 后 。 总 而 言 之 ， 展 示 的 一 个 应 用 实例 使 


oo 汽 不 柑 入 式 系 统 手 册 




















用 了 当今 架构 的 一 部 分 内 容 。 
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第 9 章 AERAN ASR H Hii 
语言 (ADL) 





9.1 介绍 





发 展 汽车 电子 产品 是 一 项 越 来 越 具 有 挑战 性 的 任务 ， 这 归 因 于 日 益 提高 的 车 
辆 系统 、 电 子 设 备 、 软 件 架构 以 及 发 展 流程 的 复杂 性 以 及 人 们 的 需求 。 本 章 强 调 
架构 描述 语言 (ADL) 作为 管理 相关 汽车 电子 的 工程 信息 的 一 种 途径 。 

由 于 洛 干 原因 ， 和 车 辆 的 电子 设备 和 软件 内 容 近 几 年 来 增长 迅速 。 污 染 法 规 的 
立法 要 求 引发 了 更 加 精细 的 发 动机 控制 (这 个 任务 只 能 由 计算 机 控制 来 完成 ) 
趋势 。 这 是 一 个 独立 的 计算 机 系统 案例 ， 它 蔡 代 了 现 有 的 系统 ， 而 且 对 驾驶 人 是 
透明 的 。 此 后 汽车 电子 向 通过 新 功能 来 提供 附加 价值 演变 ， 且 车 辆 控制 系统 互动 
以 优化 性 能 和 功能 。 在 汽车 发 展 过 程 中 ， 绝 大 多 数 车 辆 的 功能 和 特性 已 经 越 来 越 
被 电子 系统 所 影响 ， 因 而 汽车 电子 的 复杂 性 和 重要 性 遇 到 了 很 大 的 挑战 。 

发 展 瓶 颈 已 经 不 再 是 技术 ， 而 是 工程 能 力 ， 特 别 是 工程 信息 管理 。 

本 章 以 工程 信息 管理 需求 的 特征 开头 ， 然 后 是 当前 实践 状态 的 描述 ， 接 着 提 
出 了 使 用 ADL 的 潜力 ， 并 讨论 了 不 同 的 蔡 代 方法 。 本 章 以 结论 部 分 作为 结 


9.2 工程 信息 的 挑战 























汽车 电子 的 ADL 需要 满足 信息 交换 和 捕捉 各 种 工程 信息 的 需要 。 下 面 我 们 
讨论 所 应 用 的 需求 和 面临 的 挑战 。 
9.2.1 减少 成 本 和 开发 时 间 

降低 成 本 和 有 效率 的 研发 当然 是 最 根本 的 挑战 ， 其 他 方面 的 问题 大 部 分 是 由 
此 衍生 的 。 产 品 的 研发 周期 常常 处 于 高 压 之 下 。 例 如 ， 在 过 去 的 十 年 里 ,沃尔沃 
汽车 引进 了 大 约 15 个 新 车 型 ， 与 这 个 数字 相 比 ， 之 前 的 十 年 只 有 它 的 一 半 。 其 
他 制造 商 可 能 会 有 更 多 的 增长 。 在 这 些 条 件 的 约束 下 ,保持 高 质量 就 需要 先进 的 
方法 和 信息 管理 。 
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9.2.2 开发 机 构 和 信息 交换 


汽车 是 在 一 个 复杂 的 组 织 环境 中 开发 的 ， 其 中 工程 信息 需要 跨越 多 个 界面 。 
首先 ， 汽 车 制造 商 拥 有 众多 的 部 门 。 工 程 部 门 是 主要 的 利益 相关 者 ,但 是 它们 需 
要 与 市 场 和 售后 部 门 互 相配 合 。 工 程 部 门 根据 地 理 位 置 、 产 品 线 、 和 车辆 域 以 及 工 
作 内 容 组 织 起 来 ， 因 而 它们 代表 着 一 个 复杂 的 信息 交换 网 。 

其 次 ,汽车 原始 设备 制造 商 (OEM) 依靠 他 们 第 一 级 供应 商 来 完成 部 件 的 
设计 、 实 施 和 制造 。 这 意味 着 在 供应 商 和 OEM 之 间 ， 需 要 交换 大 量 的 产品 文档 。 
供应 商 有 一 个 很 大 的 内 部 组 织 ， 其 信息 交换 流程 和 OEM 的 一 样 。 

最 后 ， 尽 管 对 于 第 二 级 、 第 三 级 供应 商 的 特定 域 的 内 容 已 经 减少 ， 但 第 一 级 
供应 商 有 额外 的 供应 商 ， 其 工程 信息 必须 以 同样 的 方式 交换 。 


9.2.3 产品 的 复杂 性 


产品 复杂 性 的 增加 源 于 个 体 功能 的 复杂 性 和 功能 之 间 更 加 密切 的 相互 作用 。 
虽然 主动 安全 领域 做 出 了 很 大 的 贡献 ， 但 是 大 多 数 功 能 之 间 的 相互 作用 的 增加 也 
是 确实 存在 的 。 把 底盘 、 和 远程 信息 处 理 、 人 机 交换 (HMI) 一 些 功能 整合 起 来 ， 
提供 敬告、 帮助 和 缓冲 。 

先进 的 系统 和 软件 架构 ( 其 中 几 个 应 用 程序 集成 在 同一 个 控制 单元 中 ) 这 
种 趋势 也 增加 了 复杂 性 。 一 方面 ， 这 种 趋势 的 重要 部 分 一 一 组 件 化 使 界面 和 资源 
需求 能 够 更 好 地 定义 。 男 一 方面 ， 完 整 性 和 安全 性 等 问题 需要 新 的 机 制 ， 这 就 更 
增加 了 复杂 性 。 


9.2.4 质量 和 安全 


电子 需 件 和 软件 对 车 辆 的 特色 影响 之 大 ， 意 味 着 必须 避免 错误 。 保 持 对 品牌 
和 电子 功能 的 信心 是 十 分 必要 的 ， 且 避免 召回 成 本 和 昂贵 的 再 造 工 程 也 是 必要 
的 。 由 于 与 安全 相关 的 功能 越 来 越 依赖 于 软件 ， 因 此 避免 错误 也 是 一 个 安全 问 
题 。 规 格 和 设置 故障 是 很 常见 的 ， 而 且 会 导致 严重 的 失效 ， 甚 至 比 实施 故障 与 随 
机 组 件 错误 更 严重 。 这 就 意味 着 在 某 种 程度 上 可 以 减少 这 些 错误 的 改善 方案 是 如 
此 重要 。 


9.2.5 并 行 工程 


开发 时 间 减 少 意味 着 传统 的 瀑布 式 开发 是 不 可 能 的 。 取 而 代 之 的 是 ， 人 们 同 
步 和 反复 地 从 事 属 于 理想 产品 开发 周期 不 同 阶段 的 研发 工作 。 这 种 模式 下 的 工作 
需要 一 致 的 和 最 新 的 信息 。 
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9.2.6 复 用 和 产品 线 架构 


为 了 把 握 研发 成 本 和 可 以 达到 的 经 济 规模 ， 功 能 和 子 系统 的 再 利用 是 必需 
的 。 要 了 解 现 有 功能 的 用 处 ， 就 要 知道 它 的 界面 和 资源 消耗 ， 需 要 有 效 的 指定 功 
能 的 方法 。 同 样 重要 的 是 能 够 区 分 特定 实现 的 组 件 和 可 以 重新 再 利用 的 通用 
组 件 。 

基于 组 件 的 设计 是 一 个 重要 的 方法 ， 它 被 广泛 应 用 。 充 分 使 用 基于 组 件 的 设 
计 需 要 适当 规格 的 组 件 、 界 面 和 所 需 的 基础 架构 。 


9.2.7 分 析 和 综合 


减少 研发 时 间 并 维持 高 质量 只 能 通过 使 用 先进 的 分 析 和 综合 技术 来 达到 。 因 
此 ， 与 衣 人 式 系统 研发 相关 的 工程 技术 信息 必须 包括 使 用 的 各 种 分 析 和 综合 方法 
所 需 的 输入 数据 ， 以 及 这 些 方法 提供 的 输出 数据 。 


9.2.8 样机 


在 开发 过 程 中 ， 系 统 和 产品 早期 评 佑 的 重要 性 就 是 验证 正确 的 系统 正在 研 
制 。 虚 拟 原型 、 快 速 控制 原型 、 硬 件 在 环 (HIL) 以 及 软件 在 环 都 是 最 先进 的 技 
术 ， 它 们 可 以 使 发 现 和 消除 误解 和 规范 中 的 错误 以 及 运行 中 的 错误 成 为 可 能 。 这 
些 技术 依赖 有 关系 统 和 它们 的 接口 的 精确 (虽然 还 在 发 展 中 ) 信息 。 

这 些 都 是 一 些 应 用 的 工程 信息 的 关键 特性 ， 特 别 是 运用 先进 的 方法 和 工具 在 
未 来 场景 里 。 接 下 来 的 章节 将 讨论 目前 使 用 的 方法 。 


9.3 ”实践 状态 


过 去 十 年 ， 舱 入 式 汽 车 软件 开发 的 特点 是 ， 通 过 引入 一 个 标准 化 的 操作 系统 
来 创建 电子 控制 单元 (ECU) 的 软件 架构 ， 并 引进 了 V 周期 开发 方法 ， 以 及 采 
用 基于 模型 的 设计 与 快速 成 型 结合 。 本 节 将 解释 目前 这 是 如 何 做 到 的 。 


9.3.1 基于 模型 的 设计 


符 入 式 汽车 控制 软件 发 展 的 特征 可 以 概括 为 使 用 V 模型 的 几 个 开发 步骤 1 。 
从 逻辑 系统 架构 的 分 析 和 设计 开始 ， 也 就 是 说 ， 这 个 系统 架构 定义 了 控制 功能 ， 
然后 定义 一 组 网 络 ECU 的 技术 架构 ， 接 着 在 ECU 上 继续 用 软件 完成 设计 。 软 件 
模块 将 被 集成 和 测试 ， 然 后 ECU 将 集成 到 车 载 网 络 中 ， 最 后 ， 但 并 非 最 不 重要 
的 是 ， 该 系统 运行 执行 功能 必须 通过 校准 来 微调 。 然 而 这 不 是 一 个 自 上 而 下 的 流 
程 ， 而 是 需要 根据 通过 仿真 和 快速 成 型 的 早期 反馈 。 
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9.3.1.1 控制 算法 的 研发 

首先 ， 控制 算法 是 在 发 展 的 ， 主 要 是 控制 工程 任务 。 它 从 被 控制 的 系统 ， 也 
就 是 从 设备 的 动态 分 析 开 始 。 一 个 系统 模型 由 三 部 分 组 成 : 车 辆 (包括 传感器 
和 执行 器 ) 、 环 境 (道路 条 件 等 ) 和 驾驶 人 。 一 般 来 说 ， 在 特殊 情况 下 只 考虑 汽 
车 的 子 系统 ， 如 动力 总 成 的 发 动机 和 驾驶 人 ,或 一 定 路 况 条 件 下 的 底盘 。 这 些 模 
型 可 以 是 分 析 模 型 ， 如 解析 求解 的 微分 方程 ; 或 是 一 个 仿真 模型 ， 如 一 个 数值 求 
解 的 微分 方程 。 实 际 上 ， 一 个 模型 通常 是 上 述 两 种 情况 的 混合 。 

然后 根据 一 些 质 量 标准 ， 应 用 控制 律 。 控 制 律 用 来 对 系统 进行 动态 补偿 。 可 
以 用 很 多 规则 寻找 合适 的 控制 律 。 汽 车 控制 算法 往往 结合 闭环 控制 律 和 开 环 控制 
策略 。 后 者 往往 被 使 用 于 自动 机 构 或 开关 构造 上 。 这 意味 着 从 系统 论 的 观点 来 
看 ， 控 制 算法 是 混合 系统 。 通 常情 况 下 ， 控 制 律 由 设 定点 产生 控制 功能 和 监视 功 
能 的 函数 组 成 ， 且 这 些 都 由 软件 实现 。 第 一 步 是 给 车 辆 的 子 系统 〈 它 由 一 个 仿 
真 模型 来 表示 ) 设计 控制 算法 。 控 制 算法 和 系统 模型 都 是 在 计算 机 上 运行 的 。 
系统 通常 是 准 连续 时 间 模 型 ， 而 控制 算法 是 离散 时 间 模 型 。 这 两 种 模型 的 取 值 范 
围 是 连续 的 ， 也 就 是 说 ， 控 制 算 法 和 系统 模型 的 状态 变量 和 参数 在 模拟 代码 中 是 
浮 点 变量 。 图 9. 1 的 上 部 描绘 了 该 模型 。 逻 辑 系统 架构 代表 了 控制 算法 和 系统 模 
型 (包括 和 车辆 、 芍 驶 人 和 环境 ) 。 箭 头 1 代表 控制 算法 的 设计 步骤 。 

9.3.1.2 快速 成 型 

不 幸 的 是 ， 在 整个 设计 过 程 中 ， 使 用 的 系统 模型 通常 不 够 详细 ， 不 能 当做 唯 
一 的 参考 模型 。 因 此 ， 控 制 算法 必须 要 在 一 个 真实 的 车 辆 上 进行 检查 。 这 是 控制 
算法 第 一 次 实时 运行 。 因此， 要 仔细 选择 时 间 离 散 的 仿真 模型 可 执行 部 分 。 可 执 
行 部 分 必须 被 映射 到 操作 系统 任务 中 ， 而 为 硬件 访问 专 设 的 软件 模块 必须 附加 到 
控制 算法 中 。 

此 步骤 如 图 9. 1 所 示 ， 把 逻辑 系统 架构 连接 到 真正 的 车 辆 上 ， 此 车 辆 在 实际 
环境 中 由 鸭 驶 人 驾驶 ， 由 箭头 2 表示 。 有 许多 方法 来 实现 这 一 步骤 。 首 先 ， 可 以 
使 用 带 专用 输入 /输出 (0) 接口 来 连接 车 辆 的 专用 快速 成 型 系统 。 快 速 研 发 
系统 (RP AB) 由 一 个 强大 的 处 理 器 和 IO 板 组 成 ， 如 图 9. 1 所 示 。 这 些 板 通 
过 内 部 总 线 系 统 连接 。 与 一 个 系列 产品 ECU 相 比 ， 这 些 处 理 器 板 一 般 较 有 效 ， 
因为 它们 有 浮 点 运算 单元 ， 并 提供 容量 更 大 的 只 读 存 储 器 (ROM) 和 随机 存 取 
存储 器 (RAM) 。 在 不 同 的 使 用 情况 下 ， 通 过 总 线 连接 的 板 卡 ， 与 传 感 吉 和 执行 
器 形成 的 接口 提供 了 更 多 灵活 性 。 简 短 地 说 ， 优 先 考虑 的 是 控制 算法 的 快速 成 
型 ， 而 不 是 ECU 的 生产 成 本 。 

对 快速 研发 系统 的 接口 需求 往往 会 导致 板 卡 上 专用 电器 的 出 现 。 这 限制 了 灵 
活性 ， 因 此 ， 另 一 种 连接 传感器 和 执行 句 的 方法 是 使 用 带 微 控制 器 外 围 设 备 和 
ECU 电子 的 常规 ECU。 一 个 积极 的 作用 是 ， 在 以 后 的 系列 生产 中 ，1/O 硬件 抽象 
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层 的 软件 组 件 可 重复 使 用 。 


基 十 模 规 的 软件 坊 能 的 并 发 方法 
软件 功能 模 规 驾 驱 人 、 车 辆 和 环境 模型 





软件 功能 的 实施 名 驶 人 、 车 辆 和 堆 境 


1 一 对 软件 功能 以 及 对 千 辆 、 驾 怠 人 、 环 境 的 建 模 与 仿真 

2 一 真实 车 辆 中 软件 功能 的 快速 成 型 

3 一 软件 功能 的 设计 和 实现 

4 一 在 实验 室 的 车 辆 和 测试 合 架 上 ， 对 软件 功能 进行 集成 和 测试 
5 一 在 车辆 中 进行 软件 功能 的 测试 和 校准 


图 9.1 基于 模型 开发 的 软件 功能 


图 9. 2 所 示 为 在 旁 路 系统 运行 的 控制 和 监视 功能 ， 该 旁 路 系统 通过 传感器 和 
执行 器 连接 到 车 辆 上 。 

对 于 图 9. 2 所 示 的 旁 路 配置 中 的 ECU 的 快速 成 型 ，p.C 外 围 设备 被 用 于 驱动 
传感器 和 执行 器 。 这 意味 着 控制 算法 仍然 在 快速 发 展 的 硬件 上 运行 ， 而 1/0 驱动 
程序 在 系列 产品 ECU Liat, ASW. RAUB, EMRE 
点 、 系 统 的 采样 反应 和 数字 化 的 执行 器 信号 。 执 行 器 的 信号 转化 为 电信 和 号 或 机 械 
信号 了， 从 而 根据 驾驶 人 愿望 W 规定 的 状态 驾驶 车 辆 。 丈 是 采集 的 数字 信和 号 。 
代表 车 辆 实际 状态 的 机 械 或 电信 号 被 采样 ， 并 成 为 数字 信号 R 再 传递 到 控制 
算法 。 此 外 ， 还 有 存在 类 似 道路 状况 的 噪声 信号 Z， 尽 管 它 没有 被 控制 算法 作为 
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测量 的 输入 信号 直接 加 以 考虑 ， 但 它 会 影响 车 辆 的 行为 ， 如 果 没 有 其 他 车 辆 信 
E ot 4 使 用 专用 的 通信 板 。 传 感 器 值 尺 、 
设 定点 值 到 和 执行 器 值 U 通过 ae 
专门 的 设施 修改 ECU 硬件 ， 适应 高 速 通 信和 链 路 。 


一 

A We Z 

U Y X R 
ans FA enza 




















7 2 ys 


实验 系统 


` 


图 9.2 典型 的 快速 成 型 系统 


9.3.1.3 控制 算法 的 实施 和 ECU 的 集成 

在 快速 成 型 这 一 步骤 完成 后 ， 控 制 算法 被 证 明 在 汽车 上 使 用 是 有 效 的 。 针 对 
快速 成 型 系统 生成 的 代码 依赖 于 处 理 板 的 特殊 功能 ， 如 RAM 资源 和 浮 点 单元 。 
为 了 使 控制 算法 在 有 限 的 内 存 和 计算 资源 下 可 以 执行 ， 该 模型 的 控制 算法 必须 重 
新 设计 。 例 如 ， 控 制 算法 的 计算 公式 从 浮 点 转换 到 固定 点 ， 且 效率 的 可 扩展 性 、 
模块 化 和 其 他 关心 的 问题 要 一 并 解决 。 在 代码 生成 步骤 中 ， 改 写 的 设计 可 以 自动 
转化 为 产品 代码 。 

9.3.1.4 在 实验 室 中 测试 技术 体系 架构 

实施 和 整合 阶段 的 结果 就 是 技术 体系 架构 ， 即 网 络 化 的 ECU。 这 些 ECU 会 
对 实际 的 系统 模型 进行 测试 。 通 过 传感器 和 执行 器 的 模型 ， 及 通过 能 够 模拟 
ECU 电子 产品 所 期 待 的 电信 号 的 专门 板 卡 ， 系 统 模型 本 身 可 以 得 到 加 强 。 这 一 
类 系统 称 为 硬件 在 环 系统 ， 且 包括 处 理 板 和 IO 板 。 系 统 模型 在 初始 化 时 ， 会 有 
很 多 组 不 同 的 数值 ， 以 模拟 各 种 典型 的 驾驶 方式 。 然 后 ， 当 ECU 提供 传感器 的 
数据 作为 输出 数据 、ECU 接收 执行 器 的 数据 作为 输入 数据 时 ， 在 硬件 在 环 系统 


215 














ooo 汽车 嵌入 式 系统 手册 


中 模拟 驾驶 方式 。 通 过 这 种 方式 ， 可 以 检查 ECU 的 集成 是 否 成 功 。 在 图 9. 1 中 ， 
BOK 4 表示 硬件 在 环 系统 测试 。 

9.3.1.5 在 车 辆 中 测试 和 磨炼 技术 体系 架构 

正如 上 面 所 说 的 ， 还 存在 很 多 使 用 情况 的 系统 模型 不 够 详细 ， 因 而 不 足以 代 
表 和 车 辆 动力 学 。 虽 然 ， 如 今 很 多 的 校准 事宜 都 可 以 通过 硬件 在 环 系统 进行 ， 然 而 
车 辆 控制 算法 的 最 终 磨 炼 依然 需要 在 实际 车 辆 中 依靠 产品 ECU 中 的 产品 软件 来 
完成 。 这 就 要 求 ， 技 术 体 系 架构 必须 内 置 到 车 辆 中 ， 并 到 试验 场 进行 测试 。 这 种 
微调 只 涉及 控制 算法 的 参数 设置 ， 而 不 是 其 结构 。 














9.3.2 工具 


为 了 说 明 汽 车 软件 研发 中 使 用 的 工具 ， 下 面 介 绍 ASCET!?! , ASCET 使 用 基 
于 对 象 的 范例 构建 误 人 式 汽车 控制 软件 。 其 主体 功能 是 各 类 功能 设计 和 实时 设计 
模块 。 要 构成 一 个 ECU， 模块 要 在 一 个 项 目 里 汇总 。 有 一 类 聚合 方法 有 命令 行 
参数 和 返回 值 。 类 通过 变量 提供 内 部 状态 ， 并 可 以 聚合 成 其 他 类 的 实例 。 它 不 支 
持 继承 性 。 存 在 两 种 类 一 一 “简单 类 ”和 “有 限 状 态 机 械 类 ”。 对 于 骨 入 式 实时 
建 模 ， 存 在 一 种 提供 信息 作为 传递 模块 之 间 数 据 手段 的 模块 。 模 块 使 用 类 的 实 
例 。 模块 提供 了 所 谓 的 读 、 写 消息 的 流程 ， 并 调用 某 个 类 方法 。 该 流程 作为 子 程 
序 以 C 代码 的 形式 实现 ， 但 没有 正式 的 参数 。 这 允许 了 流程 间 通 信 的 高 效 实施 ， 
但 是 将 每 个 ECU 模块 实例 的 数量 限制 到 1。 

图 9. 3 显示 了 制 动 防滑 控制 算法 的 ASCET 模块 。 它 采用 的 方法 是 ， 每 个 车 
轮 对 应 一 个 防滑 控制 类 的 实例 。 提 供 的 车 轮转 速 以 及 车 速 作为 一 个 模块 的 接收 信 
息 。 每 个 车 轮 提供 的 控制 压力 作为 发 送信 息 。 这 些 信息 形成 了 线程 安全 的 通信 机 
制 ， 这 意味 着 每 条 信息 都 将 被 舱 入 式 实时 流程 间 通 信 工 具 来 看 守 。 该 工程 收集 了 
所 有 在 ECU 上 运行 的 模块 。 图 9.4 表示 的 是 节气 门 控制 算法 的 8 个 模块 。 这 些 
模块 提供 了 13 道 流程 。 其 中 的 一 些 流程 只 用 于 初始 化 。 该 ECU 上 的 所 有 模块 的 
执行 计划 是 由 分 配 任 务 的 流程 提供 的 ， 如 图 9.5 左 侧 所 示 。 模 块 的 信息 通过 名 称 
匹配 在 ECU 的 全 局 工程 层面 上 连接 了 起 来 。 图 9.4 显示 了 由 此 产生 的 数据 流 ， 
在 图 9.5 中 的 右 侧 把 结果 列 成 表格 。 

一 个 ASCET 工程 的 执行 范例 是 任务 调用 流程 。 该 流程 从 接收 消息 读 取 数据 ， 
并 通过 传递 消息 数据 给 参数 来 调用 类 实例 的 方法 。 然 后 ， 该 流程 调用 其 他 实例 的 
方法 ， 接 收 将 被 写 入 发送 信息 的 返回 值 。 接 下 来 ， 任 务 中 的 下 一 流程 被 调用 。 数 
据 的 完整 性 通过 ASCET 信息 的 复制 机 制 得 以 保证 。 

ASCET 模型 通过 应 用 到 工程 的 代码 生成 可 执行 的 代码 ， 该 工程 将 生成 模块 
和 类 的 代码 。 对 于 产品 代码 生成 ， 使 用 了 定点 运算 ， 如 图 9.6 所 示 。 例 如 ， 图 

































































216 


第 9 章 汽车 嵌入 式 系统 架构 描述 语言 (ADL) eee 





















































参考 速度 确定 参考 速度 
SME 确定 参考 速度 sia a_i 
11/ 流程 | Wain 制 动 洪 动 压力 请 求 FL 
参考 速度 @ A 
车 辆 数据 _ 车 辆 速度 _FL 轮 束 
eh FL SlipCtr R 
计算 一 - 16/ 流程 
SEREG Es z 
ZEAE 车 锁 速 度 _FR 轮 速 
FR SlipCtr 
计算 17/ 流程 
/3 流程 | 滑动 控制 特制 压力 y e EDIR RL 
参考 速度 他 Dn _ 滑动 _ 压 力 请 求 _ 
车 辆 数据 _ 车辆 速度 _RL 轮 束 
计算 PAIGE /8 流程 a 
yA Fa DAL Sy fee. oe 人 
(AIEEE -| PA 制 动 滑动 JRA PR_RR 
KARER AEE RR 轮 过 
RR_SlipCtr 


图 9.3 ASCET 中 的 制 动 防滑 控制 算法 











9.7 表示 了 一 个 非常 简单 的 防 抱 死 制 动 系统 (ABSO) 控制 算法 的 滑 移 确定 ， 如 
图 9.7 所 示 ， 其 中 的 车 轮滑 移 由 车 轮 速 度 和 车 辆 速度 (由 参考 速度 表示 ) 的 差 
异 给 出 ， 并 且 被 限定 的 车 辆 速度 归 一 化 〈 由 参考 值 表示 ) 。 
生成 的 代码 可 以 直接 表示 为 : 
self —>WheelSlip 一 val = ( referenceSpeed — wheelSpeed )/self 一 ReferenceValue —val; 
当 浮 点 运算 被 放弃 并 引入 定点 算术 时 ， 代 码 将 完全 改变 。 这 不 仅 意 味 着 将 使 
用 整数 值 代替 浮 点 数值 ， 但 也 同时 意味 着 物理 意义 。 例 如 ， 参 考 速 度 范 围 ， 以 位 
模式 表达 为 从 0 到 65535， 即 0 ~256km/h， 这 意味 着 每 位 表示 1/8km/h。 当 然 ， 
这 个 量化 必须 由 生成 的 C 代码 所 反映 ， 其 中 的 额外 操作 介绍 如 下 : 
_ WheelSlip = (sint16) ( (referenceSpeed -wheelSpeed < <8)/(sint32) ReferenceValue ) ; 
ASCET 可 以 在 汽车 开放 系统 架构 (AUTOSAR)! (第 2 章 ) 或 其 他 的 ADL 
中 ， 用 作 行 为 建 模 工 具 。 从 集成 的 角度 来 看 ， 集 群起 着 重要 的 作用 。 例 如 ， 在 
AUTOSAR 系统 中 ， 流 程 分 组 为 几 个 可 运行 的 实体 ， 而 几 个 模块 建立 了 核心 软件 
组 件 的 内 部 行为 。 这 种 方法 的 可 行 性 已 在 AUTOSAR ECU 上 集成 的 巡航 控制 功能 
上 得 到 了 展示 ， 因 而 利用 了 基于 模型 设计 和 ADL 的 优势 。 
































”如 果 车 轮 在 制 动 状 态 下 锁 住 ， 那 么 制 动 将 打开 儿 微 秒 ， 以 让 车 轮 相对 于 车 辆 实际 速度 恢复 一 定 的 
转速 。 只 有 运行 车 轮 才 可 以 传递 横向 力 ， 此 力 允 许 车 辆 行驶 ， 例 如 避免 道路 上 的 障碍 。 
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AD 设备 ECU 的 
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a doStimuli out normal 
bi Adind 
Adin] target_pos |—»|target_pos 
Adin2 Stimuli bzm 
Adin3 conv_ad2val ms 
AdIn4 Adini actual_val 
eins Adin3 
Adno actual _val PIDTI 模块 
AdIn7 
Ading 答 入 _ 模 拟 
Adin9 
Adin10 输入 信号 的 
> InitAnalogIn16 AdInll | 信忠 转换 
>| AdInterrupt AdIn12 
>| AnalogIn16 AdIn13 
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模拟 输入 16 
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conv_out2pwm 
pwm_dutycycle_1 SG 
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输出 _ PWM 

















图 9.4 在 ASCET 中 节气 门 控制 器 的 简单 模型 
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pwn_dutycycle_1 SG 
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> InitPwmOut7_2 
> PwmOut7 2 


———e—_—___—_, 


pwm_dutycycle 2 





PwmOut7 2 





PWM 输 出 7_7 





MEZEN AHLY @@ 


第 9 


a 


Fu 





Tasks 





二 初始 (激活 ) 
IntiAnalogin16::AnalogIn16 
E InitPwmOut? 2::PwmOut? 2 
lnitPwmOut7 _7::PwmOut7 7 
2 任务 _Ims( 激 活 ) 
Analogln16::AnalogIn16 
conv_ad2val::Input_Analog 
doStimuli::Stimuli 
normal::PIDT1_Module 
out::PIDT1_ Module 
conv_out2pwm::Output_PWM 
convert::Converter 
PwmOut7_2::PwmOut7_2 
PwmOut7_7::PwmOut7_7 
measurement _a::Distab12 
3- HW_ 任 务 (激活 ) 
AdInterrupt::AnalogIn16 











<& pwm_dutycycle_1_SG::mesgfcont] PWM 输出 转换 内 
a pwm_dutycycle_ 2 SG::mesg|cont| PWM 输出 转换 器 
2 AdIn1::mesg|cont| 模拟 输入 16 模拟 输入 





2 AdIn3::mesg[cont] 
2 out::mesg|cont] 
e actual_val::mesg|cont] 
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paa target_pos::mesg[cont] 

2 pwm_dutycycle_1::mesg[cont] 
> pwm_dutycycle_2::mesg[cont] 
e Adin0::mesg[cont] 
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4- 任务 10ms( 激 活 ) 
pam measurement_b::Distab12 
a 于 任务 100ms( 激 活 ) 


measurement_c::Distab12 














图 9.5 任务 进程 调度 〈 左 侧 ) 和 节气 门 控制 器 的 信息 流 〈 右 侧 ) 










































































本 y 参数 | 参数 限 位 | 存在 分 | 是 否 mA 
名 称 类 型 ”| 参数 类 型 | 最 小 估 | 最 大 住 | Q | 公式 | 长 度 memara | BOE 最 大 人 
PSS ER |T 连续 下 整数 1 位 | 0 ”|65 535 | 0 | 速度 16 位 | AA | 是 否 0.0 |255.99609 
参考 什 号 连续 整数 16 位 |-32 768| 32 767 | 0 annae] 自动 | 是 æ “|-128.0 |127.99609 
O teita eee 3 整数 16 位 |-32 768) 32 767 | 0 | 相对 滑动 1 位 | 白 动 | 是 否 “| -128.0 |127.99609| 
PHM [E 连续 十 整数 16 售 | 0 | 65535] 0 | 速度 16 位 | 自动 | 是 否 0.0 [255.99609 
图 9.6 16 位 实现 的 注释 
/2/ 计 算 
> > 一 
参考 速度 /计算 和 车轮 请 动 
> 
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9.3.3 基于 模型 设计 之 外 的 问题 


图 9.7 车 轮滑 移 确 定 的 模型 提取 


在 过 去 ， 基 于 模型 的 设计 主要 是 用 于 单一 的 ECU 设计 ， 并 带 来 了 质量 和 生 
产 率 的 显著 提高 。 然 而 ， 所 有 功能 的 互 操作 性 描述 仍然 是 基于 所 有 控制 器 区 域 网 




















络 (CAN) 信息 的 通信 矩 阵 的 ， 而 这 些 是 部 分 地 提供 


到 适当 的 供 





应 商 ， 然 后 ， 








每 一 个 有 关 的 供应 商 将 根据 V 模型 开始 目 己 的 开发 周期 。 这 种 情况 的 描绘 ， 见 
图 9.8 的 左 侧 。 在 汽车 制造 商 的 工厂 ， 与 最 后 的 ECU 进行 第 一 次 尝试 整合 (R 
成 阶段 1) 通常 都 会 失败 。 经 常 的 ， 一些 供 应 商 不 得 不 重新 设计 它们 的 系统 ， 但 
是 在 未 来 整合 阶段 (集成 阶段 2)， 有 可 能 由 于 男 一 个 ECU 的 问题 而 再 次 失败 。 





219 


coe 汽车 嵌入 式 系统 手册 



































供应 商 供应 商 供应 商 供应 商 ER 供应 商 
A B C B C A 
Fe 
A 
+4 >4 >4 > >t Pt > 
分 布 式 集成 修改 集成 修改 集成 
研发 阶段 1 阶段 1 阶段 2 阶段 > ME 





图 9.8 ECU 网 络 集成 的 问题 


分 析 整 合 阶段 失败 的 原因 ， 呈现 出 以 下 几 个 问题 ， 定 时 间 题 、 接 口 问 题 以 及 
ECU 之 间 的 通信 问题 。 所 有 的 问题 都 是 相互 关联 的 ， 并 需要 在 适当 的 抽象 层次 
上 得 到 解决 。 在 ECU 的 软件 体系 结构 中 引入 一 个 可 配置 的 中 间 层 和 一 个 可 提供 
配置 信息 的 ADL， 是 目前 解决 集成 问题 最 好 的 方案 5 。 此 外 ，ADL 必须 整合 基 
于 模型 的 设计 方法 ， 以 利用 已 经 存在 于 当前 以 ECU 为 中 心 的 设计 方法 中 的 设计 
优势 。 











9.4 ADL 解决 方案 


为 了 使 当前 最 佳 实际 方案 有 所 进步 ， 工 程 信息 管理 中 更 加 有 效 ， 可 以 充分 开 
发 利用 ADL, H IEEE 定义 的 架构 为 “一 个 系统 的 基本 组 织 体现 在 它 的 组 件 中 ， 
体现 在 它们 之 间 的 相互 关系 和 与 环境 的 关系 中 ， 并 体现 在 指导 其 设计 和 发 展 的 原 
则 中 。”ADL 在 其 最 广泛 的 意义 上 说 ， 是 一 种 以 精确 语义 的 方式 记录 架构 的 方 
法 。 对 于 汽车 电子 和 软件 域 来 说 ，ADL 应 该 解决 上 述 确定 的 工程 信息 管理 的 挑 
战 。 下 面 我 们 将 继续 讨论 如 何 可 以 做 到 这 一 点 。 


9.4.1 汽车 ADL 的 一 般 问题 


ADL 有 多 种 用 途 ， 它 用 以 构成 记录 汽车 软件 和 电子 架构 的 一 种 认同 办 法 。 
该 语言 提供 了 一 种 载体 ， 这 个 载体 有 助 于 推理 利益 依 关 方 之 间 的 系统 。 供 应 商 、 
OEM 或 在 不 同 部 门 的 工程 师 将 能 够 很 快 理解 对 方 的 技术 要 求 ， 于 是 新 方法 和 符 
号 的 经 验 曲线 就 不 会 太 陡 。 

在 语义 上 和 语法 上 的 精确 描述 ， 还 有 认同 的 交换 格式 ， 将 使 不 同 工 具 之 间 的 
交流 成 为 可 能 。 为 实现 这 一 目标 ,标准 化 很 重要 (无 论 是 事实 上 的 标准 或 是 正 
式 标准 ) 。 

要 把 握 汽 车 零 部 件 、 系 统 或 整 车 的 不 同方 面 ， 需 要 对 几 个 方面 进行 建 模 。 这 
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可 以 通过 将 很 多 方面 包括 在 同一 模型 中 ， 或 通过 关心 问题 的 不 同方 面 提供 单独 的 
模型 来 实现 。 关 注 的 案例 有 : 硬件 与 软件 、 系 统 与 环境 、 抽 象 与 具体 描述 。 在 前 
一 种 情况 中 使 用 综合 模型 ， 这 些 模型 的 复杂 性 使 得 有 必要 将 它们 以 某 种 方式 组 织 
起 来 ， 并 能 够 提供 若干 关注 问题 。 如 果 使 用 不 同 的 模型 ， 那 么 在 IEEE 147116] 中 
所 定义 的 意见 /观点 的 描述 和 系统 建 模 语言 (SysML) 7 将 十 分 有 用 。 使 用 单独 
模型 的 弱点 是 各 方面 之 间 的 可 追溯 性 都 将 丢失 。 因 此 ， 如 有 果 可 能 ，ADL 应 该 在 
一 个 综合 模型 中 设法 了 解 和 处 理 几 个 方面 的 问题 。 
下 面 我 们 将 继续 讨论 汽车 ADL 预期 的 建 模 支持 。 


9.4.2 需要 什么 来 建 模 


汽车 ADL 应 涵盖 的 工程 信息 包含 结构 、 行 为 、 要 求 和 变异 性 ， 以 及 对 核查 、 
验证 与 综合 的 支撑 。 理 想 的 情况 是 ，ADL 完全 覆盖 这 些 类 别 的 信息 ， 人 允许 信息 
的 集成 和 各 部 分 信息 之 间 的 可 追溯 性 。 或 者 说 ， 一 个 明确 的 描述 方法 可 以 定义 
为 ， 例如，ADL 涵盖 结构 与 行为 ， 而 外 部 工具 和 符号 处 理 其 他 方面 。 下 面 我 们 
将 描述 这 些 领域 的 每 一 个 方面 。 

9.4.2.1 结构 

通过 结构 ， 我 们 能 搞 明 白 建 模 系统 的 逻辑 或 物理 组 织 。 因 此 ， 出 于 对 考虑 的 
系统 方面 的 原因 ， 结 构 是 不 同 的 。 结 构 可 能 是 功能 、 端 口 和 连接 的 功能 性 分 解 ， 
或 软件 组 件 和 接口 构成 的 软件 架构 。 对 于 硬件 ， 结 构 是 指 的 物理 组 件 和 连接 器 。 
在 每 个 案例 中 ， 结 构 是 系统 描述 主干 ， 其 他 系统 信息 的 建 模 实体 应 该 与 结构 实体 
相关 。 例 如 ， 行 为 模型 、 要 求 、 确 认 / 验 证 模型 可 以 链接 到 相关 功能 、 软 件 或 硬 
件 组 件 。 

9.4.2.2 特性 

建 模特 性 在 某 种 意义 上 比 结构 更 重要 ， 因 为 它 定 义 了 组 件 或 整个 系统 应 该 做 
什么 。 特 性 模型 也 有 把 握 外 部 环境 的 作用 ， 以 便 在 现实 环境 中 确认 和 验证 。 

特性 模型 的 性 质 区 别 在 于 两 个 目的 。 环 境 模 型 应 该 描述 外 界 或 车 内 和 车 外 系 
统 ， 其 详细 程度 应 足以 支持 从 事 的 分 析 ， 同 时 又 能 保持 足够 的 模拟 或 分 析 性 能 。 
因此 ， 部 分 环境 模型 可 能 会 有 寿 干 变形 ， 以 满足 不 同 的 需求 。 

基于 软件 的 电气 /电子 系统 的 特性 模型 至 少 有 三 个 不 同 种 类 : @ 针 对 早期 或 
独立 实施 的 仿真 与 分 析 的 特性 的 抽象 描述 ; @) 面 向 执行 的 模拟 、 分 析 和 代码 生成 
的 行为 的 具体 描述 ; @ 模 拟 、 分 析 和 编译 到 目标 系统 的 实际 代码 。 

行为 定义 的 分 解 应 与 结构 分 解 完 全 匹配 ， 也 就 是 说 ， 结 构 的 每 个 组 件 应 该 具 
有 相应 的 行为 定义 。 万 一 无 法 实现 ， 它 也 应 该 能 够 识别 哪个 组 的 结构 组 件 对 应 哪 
些 行为 的 定义 。 

此 外 ， 还 有 一 点 也 是 非常 重要 的 : 不 同 的 组 件 的 行为 定义 应 该 能 够 组 成 一 个 
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行为 模型 ， 且 这 个 行为 模型 对 应 一 个 完整 的 系统 或 一 个 它 的 子 系统 。 

9.4.2.3 ”要求 

系统 要 求 代表 一 个 重要 类 别 的 工程 信息 ， 因 而 应 该 由 ADL 来 支持 。 此 外 ， 
要 求 还 和 其 他 要 求 及 它们 限制 的 系统 实体 相关 。ADL 中 的 要 求 包括 : 捕获 要 求 
之 间或 组 件 与 其 要 求 之 间 的 可 追溯 性 成 为 可 能 。 在 这 种 建 模 支持 下 ， 使 以 下 工作 
成 为 可 能 : 确定 哪些 要 求 是 某 一 特定 精准 要 求 的 根本 原因 ， 或 看 什么 要 求 限制 了 
特定 的 组 件 。 

要 求 可 以 是 基于 文本 的 或 基于 模型 的 、 正 式 的 或 非 正 式 的 。 基 于 模型 的 意思 
是 ， 用 ADL 中 的 建 模 实体 表示 要 求 ， 如 用 端口 上 的 事件 来 表达 定时 要 求 ， 或 用 
目标 硬件 和 软件 分 配 表达 分 配 要 求 。 

9.4.2.4 变异 性 

变异 性 是 汽车 软件 和 系统 开发 中 极为 重要 的 方面 。 变 异性 需要 从 一 开始 的 发 
展 考 虑 ， 以 便 重 新 利用 、 定 义 相应 的 产品 线 并 确保 配置 的 正确 性 。 变 异性 的 另 一 
个 作用 是 在 研发 过 程 中 定义 不 同 的 配置 ， 如 一 个 特定 的 检查 或 分 析 。 

系统 模型 需要 捕获 推动 产品 之 间 分 化 的 需求 和 要 求 。 另 外 ， 定 义 组 件 的 可 变 
性 和 外 部 可 见 的 可 变性 之 间 的 可 追溯 性 也 是 有 必要 的 。 最 后 ， 管 理 组件 变 异性 也 
是 很 重要 的 ， 也 就 是 说 ， 当 选择 各 自 变 量 时 ， 要 定义 变量 和 规则 。 有 了 一 个 清晰 
的 变异 性 的 表示 ， 就 可 以 恰如其分 地 管理 参数 化 的 实施 以 及 硬件 和 软件 组 件 的 纳 
入 。 变 异性 在 第 7 章 中 进行 了 更 次 的 论述 。 

9.4.2.5 ”核查 和 验证 

车 辆 系统 的 核查 和 验证 发 生 在 几 个 不 同 研发 阶段 ， 且 涉及 车 辆 的 不 同 部 分 。 
其 目的 是 为 市 场 营 销 部 验证 的 车 辆 功能 是 否 令 人 满意 ， 或 系统 要 求 能 否 在 规范 和 
实现 方面 得 到 满足 。 可 能 使 用 的 技术 涉及 检查 、 仿 真 、 原 型 设计 、 测 试 和 数值 与 
正式 的 分 析 。 

重要 的 模拟 技术 包括 硬件 在 环 (用 一 个 接口 对 车 辆 剩余 部 件 来 验证 完整 车 
辆 系统 ) 、 软 件 在 环 [ 用 一 个 接口 对 车 辆 剩余 部 件 (包括 硬件 和 本 地 控制 单元 的 
软件 平台 ) 来 验证 车 辆 的 软件 系统 ] 、 快 速 控制 原型 技术 〈 用 接口 和 传感器 及 实 
际 车 辆 的 执行 器 ， 进 行车 辆 系统 的 功能 性 表示 ， 并 允许 实 车 验证 ) 。 

其 中 许多 技术 要 求 提供 研发 中 的 系统 模型 以 及 其 周边 的 系统 和 车 辆 的 机 械 部 
件 。 其 他 可 能 来 源 于 ADL 支持 的 工程 信息 ， 包 括 核查 /验证 设置 的 定义 、 输 入 激 
励 、 核 查 结果 和 裁定 的 表示 。ADL 支持 特别 有 用 的 一 个 方面 是 : 验证 的 设置 、 
输入 和 输出 可 以 严格 地 记录 下 来 。 

得 益 于 基于 模型 的 系统 表示 的 分 析 案 例 是 安全 分 析 ， 如 故障 树 分 析 、 失 效 模 
式 与 影响 分 析 ; 时 序 分 析 ， 如 总 线 可 调度 性 分 析 和 CPU 的 响应 时 间 分 析 ; 针对 
正式 验证 表现 属性 和 系统 行为 的 正式 定案 。 
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9.4.2.6 综合 

从 用 户 的 基于 要 求 规范 的 需要 到 最 后 实施 的 研发 过 程 可 以 视 为 工程 信息 的 不 
断 完 善 。 在 其 中 的 某 些 步 骤 中 ， 自 动 综合 是 可 能 的 ， 大 多 数 显 而 易 见 的 代码 生成 
源 于 更 抽象 特性 的 定义 。 综 合 的 其 他 案例 包括 软件 到 硬件 的 自动 分 配 或 测试 的 自 
动 生成 。 这 些 综合 步骤 要 求 输入 信息 具有 充分 的 代表 性 。 对 于 代码 生成 ， 它 意 指 
ADL 理想 部 分 的 行为 表现 ， 或 意 指 识别 外 部 符号 中 的 行为 表现 。 分 配 需要 软件 
的 代表 性 和 其 安全 要 求 ， 对 计算 、 内 存 和 通信 的 资源 要 求 ， 以 及 约束 分 配 的 不 同 
要 求 、 终 端 到 终端 响应 时 间 分 析 等 。 至 于 硬件 ， 需 要 它 提供 相同 的 特性 描述 。 测 
试 生成 作为 最 后 一 个 案例 ， 要 求 提供 测试 将 验证 的 需求 和 特性 的 表征 ， 及 测试 中 
系统 的 行为 和 界面 的 表征 。 在 每 个 案例 中 ， 表 示 的 详细 程度 将 影响 结果 的 准确 
性 。 例 如 ， 当 最 后 的 架构 设置 和 总 线 容量 经 过 比较 后 ， 初 步 的 、 抽 象 的 信和 号 链 路 
分 配 到 时 可 能 需要 更 改 。 





























9.5 目前 的 ADL 方法 


本 节 将 描述 5 种 与 汽车 电子 系统 建 模 相 关 的 实现 手段 。 
9.5.1 Forsoft 汽车 





Forsoft 汽车 工程 (51 通过 汽车 建 模 语 言 (AML) ， 整 合 了 需求 管理 、 软 件 组 件 
设计 与 行为 建 模 。AML 是 一 种 元 模型 ， 它 支持 以 下 五 种 抽象 级 元 素 : 

。 信和 号。 

。 功 能。 

。 PHAT, 

。 技术 架构 。 

。 实施。 

言 号 代表 了 被 功能 所 引用 的 接口 。 功 能 的 构成 代表 了 实现 控制 算法 的 逻辑 架 
构 ， 而 技术 架构 构成 了 除去 在 ECU 上 运行 的 基本 软件 模块 之 外 的 ECU 整个 物理 
网 络 。 

前 三 个 抽象 级 元 素 的 AML 表示 由 统一 建 模 语言 (UML) 建 模 工具 一 一 UML 
套件 和 图 形 建 模 与 代码 产生 工具 一 一 ASCET AH, AML 的 描述 是 基于 交互 式 的 
功能 。 功 能 是 由 按 接口 分 类 的 端口 (port) 构成 的 。 其 接口 传递 信号 。 功 能 可 以 
按 层次 来 分 组 。 功 能 可 以 有 变 体 ， 它 的 一 个 变 体 只 能 运行 相对 于 接口 的 功能 
集 。 接 口 也 可 以 拥有 变 体 ， 且 其 中 的 变 体 通 常 都 是 子 集 。 这 个 概念 的 更 多 细节 如 
图 9. 9 所 示 。 在 此 图 的 上 方 ， 有 一 个 功能 性 车 窗 举 升 避 ， 它 带 有 信和 号 接口 中 断 、 
窗口 控制 以 及 舒适 性 控制 。 驾 驶 人 侧门 功能 提供 了 车 窗 与 舒适 控制 的 接口 ， 而 其 
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变 体 一 一 前 排 乘 员 侧 车 门 与 乘客 车 门 ， 仅 仅 使 用 了 车 窗 控 制 接口 。 图 中 所 有 变 体 
都 使 用 了 中 断 接口 。 


























车 窗 控制 向 | ofc et 
ARIE EP 
中 上 


图 9.9 基于 子 集 的 变 体 概念 





逻辑 架构 由 一 个 具有 分 层 功能 的 变 体 来 表示 。 技 术 架 构 由 网 络 化 的 ECU 给 
出 ， 它 包含 了 除 逻 辑 架构 细小 功能 外 的 所 有 应 用 于 通信 的 基本 软件 模块 。 当 然 ， 
所 有 授权 和 传递 连接 顺 在 映射 这 一 步 得 到 解决 。 实 施 意 味 着 细小 功能 代码 生成 与 
人 工 编码 ， 或 者 构造 基本 软件 模块 (实现 了 ECU 硬件 与 控制 算法 细小 功能 之 间 
的 接口 ) 。 


9.5.2 SysML 





SysMLL" 是 对 象 管理 组 织 的 系统 建 模 语言 (图 9. 10) 。 它 起 始 于 2003 年 ， 
作为 对 于 OMG 系统 工程 要 求 建 议 的 一 项 回应 ,包括 工具 供应 商 、 国 防 工业 、 航 
天 工业 与 农业 部 门 等 在 内 早期 都 参与 了 该 项 系统 工程 。 它 是 一 个 UML 的 扩展 版 
AS——UML2 的 2.1 版 本 ， 并 且 根 据 STEP (ISO 10303 - 233) 符合 数据 交换 
规定 。 

SysML 采用 新 的 建 模 理念 和 系统 工程 框图 扩展 UML2。 它 也 确定 了 部 分 的 
UML2 是 与 系统 工程 建 模 相关 的 。 这 个 新 的 概念 关注 需求 、 结 构建 模 和 行为 构 
造 。 新 的 框图 包括 了 需求 框图 和 参数 图 ， 并 且 包 含有 对 于 活动 、 类 别 和 复合 结构 
进行 调整 的 框图 。 

SysML 是 一 种 通用 模式 ， 也 就 是 可 以 且 也 应 当 在 相应 使 用 领域 内 实现 专业 
化 。 这 一 点 是 可 能 的 ， 因 为 这 个 语言 具备 可 以 被 广泛 扩展 的 UML2 配置 文件 。 
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9.5.3 ”架构 与 分 析 描 述 语 言 


AADL 是 一 种 SAE 架构 与 分 析 的 描述 语言 。 它 基于 一 种 用 于 软 硬 件 组 件 定义 
和 分 配 的 语言 MetaH。MetaH 和 AADL 起 源 于 国防 和 航天 领域 ， 但 是 其 目标 却 是 
当下 广泛 使 用 的 能 入 式 系统 。 这 是 自 2004 年 以 来 的 SAE 标准 就 含有 的 。 

尽管 AADL 可 能 归纳 为 更 多 的 抽象 实体 ， 但 AADL 关注 任务 结构 和 交互 动作 拓 
扑 。 它 文 持 模 式 处 理 、 错 误 处 理 、 交 互 进程 通信 等 的 定义 。 作 为 这 样 的 语言 ， 它 扮 
演 了 舰 入 式 软 件 的 详细 说 明 的 角色 ， 也 就 是 在 实际 代码 可 以 被 平滑 集成 时 ， 它 可 以 
用 于 自动 生成 一 个 应 用 架构 。 这 个 语言 包含 了 各 种 各 样 的 分 析 文 持 ， 比 如 针对 安全 
与 计时 。 此 外 ， 还 提出 了 行为 附件 ， 以 包含 针对 AADL 描述 的 共同 行为 语义 。 

目前 ，AADL 是 有 关 工 具 与 分 析 的 几 项 调查 研究 工作 的 主题 ， 比 如 法 国 的 
TOPCASED 项 目 和 美国 在 SEI WATE! 。 


9.5.4 ”实时 式 和 骨 入 式 系 统 的 建 模 与 分 析 


HTX, RARR (MARTE) 1H) UML 配置 文件 是 一 种 
在 UMI2 中 建立 实时 、 肯 入 式 系统 模型 的 途径 ， 是 一 种 支持 相关 特性 分 析 的 途径 
(图 9.11)。 它 同时 支持 硬件 与 软件 两 个 方面 。MARTE 是 当下 OMG 的 意见 征求 
书 ， 主 要 根据 proMarte 联盟 的 意见 提出 iS1。 它 意味 着 出 于 调度 、 性 能 和 时 间 的 
考虑 ， 要 取代 当下 的 配置 文件 1 。 

MARTE 的 配置 文件 编 为 三 个 主要 的 软件 包 : 时 间 和 并 行 资源 、 运 行 环境 
(RTE) 建 模 和 RTE 分 析 。 时 间 和 并 行 资源 是 MARTE 建 模 与 分 析 的 一 种 底层 结 
构 。RTE 建 模 扩 展 了 UML2 的 散 入 式 软 件 、 硬 件 以 及 分 配 的 结构 。RTE 分 析 扩 
ÈT UML 可 调度 性 和 性 能 分 析 的 有 关 概 念 。MARTE 的 配置 文件 不 是 一 种 ADL, 
但 它 与 UML2 的 结构 一 起 ， 履 盖 了 ADL 的 大 部 分 建 模 需求 。 
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图 9.11 建 模 、 实 时 分 析 与 伐 入 系统 、 配 置 文件 架构 




















9.5.5 AUTOSAR 建 模 


如 上 所 述 ，ECU 软件 架构 采用 中 间 件 和 使 用 ADL 配置 ， 这 些 被 视 为 克服 网 
络 系统 集成 问题 的 手段 。AUTOSAR 提出 把 RTE 作为 中 间 件 并 把 一 个 虚拟 功能 总 
线 (VFB) 作为 ADL。 在 VFB 上 ， 所 有 与 控制 算法 相关 的 接口 问题 都 得 到 了 解 
Be, VFB 由 互联 软件 组 件 分 层次 构成 。 在 一 个 映射 和 配置 步骤 中 ，VFB 转化 为 
网 络 化 ECU ， 运 行 部 分 控制 算法 。 

AUTOSAR 的 主要 概念 有 : 

。 互联 应 用 软件 组 件 VFB 视图 。 

。 描述 接口 、 内 部 行为 和 可 运行 性 的 软件 组 件 。 

© ECU 网 络 描述 。 

© 用 预 映射 信号 描述 系统 约束 。 

o 软件 组 件 到 ECU 、 接 口 到 框架 、 可 运行 性 〈 软 件 组 件 的 并 行 要素 ) 到 任 
务 的 映射 描述 。 

© 配置 有 基本 软件 模块 的 分 层 ECU 软件 架构 。 

。 基本 软件 模块 的 配置 说 明 。 

这 些 概 念 的 相互 联系 如 图 9. 12 所 示 。 在 此 图 的 顶部 ， 有 带 端 口 的 应 用 软件 
组 件 。 端 口 由 接口 来 决定 类 型 ， 它 可 以 是 发 送 /接收 器 类 型 (箭头 形状 ) 或 客户 
端 / 服 务 器 类 型 (UML 的 棒 棒 糖 符号 ) 。 此 外 ， 还 有 一 些 所 谓 的 服务 端口 ， 也 就 
是 针对 标准 化 ECU 服务 像 非 易 失 RAM (NVRAM) 管理 或 诊断 等 的 接口 。 应 用 
软件 组 件 的 端口 由 连接 器 相连 。 这 些 连 接 的 应 用 软件 组 件 建 立 了 系统 的 VFB 表 
示 ， 且 包含 了 控制 算法 。 它 是 虚拟 的 ， 因 为 没有 假设 是 基于 底层 的 E/E 架构 所 
提出 的 。 它 可 以 完全 独立 地 设计 ， 并 允许 在 不 同 的 车 辆 类 型 之 间 将 软件 组 件 从 一 
个 ECU 搬迁 到 另 一 个 ECU P, E/E 架构 由 下 CU 资源 描述 和 系统 约束 的 描述 来 反 
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映 。 这 二 者 都 用 来 描述 所 使 用 的 ECU、 网 络 和 网 关 的 类 型 与 特性 ， 如 图 9. 12 中 
间 部 分 所 示 。 系 统 约束 的 描述 可 能 还 包含 一 个 从 系统 信号 到 系统 框架 的 映射 描 
述 。 因 此 ， 它 构成 了 一 个 局 部 的 通信 和 抢 阵 。 根 据 选 定 的 映射 准则 ， 应 用 软件 组 件 
被 映射 到 ECU 上。 连接 映射 到 不 同 ECU 上 的 软件 组 件 的 所 有 连接 器 都 服从 于 信 
号 映射 。 这 意味 着 端口 接口 的 数据 元 素 被 分 配 到 了 总 线 系 统 的 框架 上 。 在 所 有 这 
些 “ 远 程 ”连接 器 被 映射 之 后 ， 通 信和 矩阵 就 建立 了 ， 且 所 有 的 ECU 通信 协议 推 
栈 就 可 以 进行 配置 了 。 所 有 的 连接 器 ， 也 就 是 连接 分 配给 同一 个 ECU 软件 组 件 
的 连接 器 ， 将 由 RTE 来 实现 。RTE 根据 软件 组 件 及 映射 描述 实现 配置 ， 并且 提 
供 实 时 般 入 式 进程 间 通 信 方 式 。 这 些 方式 被 宏 所 隐藏 ， 因 而 可 运行 的 软件 组 件 可 
以 从 RTE 读 取 数据 或 向 RTE 写 人 人 数据。 为 了 提供 一 个 最 佳 实施 的 RTE， 软 件 - 
任务 分 配 和 任务 调度 是 纳入 考虑 之 中 的 。 在 一 个 高 度 优先 的 系统 中 ，RTE 的 资 
源 消耗 可 能 会 高 于 在 一 个 合作 系统 产生 的 消耗 。 这 种 系统 在 图 9. 12 的 底部 有 所 
展示 。 在 这 里 所 有 的 软件 组 件 已 经 被 映射 到 各 个 ECU F, RTE, COM 堆栈 上 和 
所 有 其 他 的 基本 软件 模块 就 得 到 了 配置 。 


9.5.6 EAST -ADL 











EAST - ADL 是 在 ITEA 的 EAST - EEA 项 目 中 得 到 发 展 的 05] | EAST - EEA 项 
目的 目的 是 减少 便 件 对 于 汽车 软件 的 依赖 性 ， 人 允许 更 多 针对 软件 配置 的 灵活 性 。 据 
称 ， 需 要 ADL 是 为 了 管理 软件 和 硬件 的 规格 。EAST - ADL 随后 被 应 用 于 诸如 
EASIs 的 项 目 中 5] ， 并 在 ATESST 项 目 中 得 到 完善 ， 变 成 EAST - ADL2""7! 。 

EAST - ADL 的 范围 包括 了 开发 汽车 软件 所 需 的 工程 信息 : 功能 和 软件 本 身 、 
和 需求、 硬件 和 环境 。 图 9. 13 显示 了 EAST - ADL2 中 用 于 组 织 系统 信息 的 抽象 层次 。 

9.5.6.1 系统 模型 组 织 

(1) 车 辆 层面 

这 种 抽象 层面 代表 了 用 户 对 于 车 辆 的 感知 。 该 模型 包含 了 车 辆 和 它 提供 的 功 
能 。 由 抽象 的 、 独 立 实施 的 形式 所 表达 的 需求 可 以 指派 。 这 也 就 是 说 ， 可 以 配置 
车 辆 ， 它 定义 了 在 一 个 特定 车 辆 中 需要 包含 哪些 功能 。 

(2) 分 析 层 面 

此 层面 包含 具备 E/E 架构 功能 性 抽象 描述 的 模型 。 尽 管 已 经 做 出 了 一 些 选 
F, 但 重点 是 系统 应 该 做 什么 ， 而 不 是 如 何 去 做 。 例 如 ， 进 行 包括 独立 实施 的 接 
口 定义 在 内 的 初期 功能 分 解 ， 抽 象 行为 可 以 包含 ， 且 需求 可 以 分 配 。 这 些 模型 被 
用 于 分 析 和 获得 实际 的 解决 方案 之 前 也 就 是 设计 阶段 的 早期 评估 。 这 也 是 一 种 调 
查 在 整个 生命 周期 中 系统 主要 特性 的 手段 ， 而 不 必 进 入 更 加 详细 的 设计 。 

(3) 设计 层面 

设计 层面 包括 E/E 架构 功能 与 硬件 的 详细 规定 。 对 功能 接口 进行 了 详细 规 
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定 ， 宛 余 被 添加 ， 且 针对 效率 、 具 体 硬 件 、 中 间 件 等 的 适应 性 也 被 包括 在 内 。 尽 
管 软件 设计 层面 相对 于 编码 、 组 件 化 、 任 务 分 配 等 还 是 一 个 具有 一 定 自由 度 的 功 
能 描述 ， 但 软件 设计 层面 规范 等 同 于 最 终 实施 。 应 用 软件 和 中 间 件 是 彼此 分 离 
的 ， 但 是 它们 都 在 设计 层面 上 以 这 种 程度 的 细节 得 到 了 体现 。 硬 件 表征 包含 
ECU 、 总 线 、 传 感 吉 和 执行 需 等 ， 它 们 是 规范 、 分 析 和 功能 行为 配置 所 必需 的 。 

(4) 实施 层面 

软件 实施 层面 模型 代表 了 代码 、 任 务 分 配 、 通 信 / 数 据 交 换 实施 、 中 间 件 配 
置 等 方面 的 最 终 实现 。 硬 件 表示 与 设计 层面 上 的 表征 具有 相同 的 划分 。 更 详细 的 
硬件 规定 比如 电路 图 和 VHDL 语言 描述 ， 都 不 在 EAST - ADL 表示 范围 之 内 ， 
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EAST-ADL2 模 型 





图 9.13 用 于 组 织 针对 电子 与 电器 架构 和 环境 的 系统 模型 的 EAST - ADL2 抽象 层面 


且 通 常 不 是 功能 /软件 开发 所 必需 的 。 

EAST - ADL2 依赖 AUTOSAR 建 模 概念 来 捕获 实施 层面 的 系统 。AUTOSAR 
结构 与 实体 之 间 在 更 高 抽象 层面 上 的 “实现 ”关系 ， 被 用 来 从 实施 到 更 抽象 实 
体 的 连接 。 这 提供 了 必要 的 从 一 个 或 几 个 AUTOSAR 实体 到 一 个 或 几 个 EAST - 
ADL2 实体 间 的 可 追踪 性 。 

9.5.6.2 ”环境 建 模 

E/E 架构 下 的 环境 ， 通常 被 称 为 植物 模型 ， 它 表现 在 每 个 抽象 层次 上 。 其 
目的 是 为 了 捕捉 考虑 到 环境 的 假设 ， 并 允许 在 其 中 进行 车 辆 功能 的 分 析 和 仿真 。 

E/E 架构 因为 处 于 较 低 抽象 层面 ， 所 以 其 细节 程度 增加 了 。 该 环境 模型 的 
特性 是 独立 于 抽象 层面 之 外 的 ， 并 且 由 分 析 的 需要 所 决定 。 例 如 ， 一 个 用 于 安全 
分 析 的 仿真 可 能 拥有 一 个 非常 简单 的 发 动机 模型 ， 然 而 分 析 一 个 齿轮 的 选择 策略 
却 需 要 更 加 细节 的 处 理 。 需 要 包含 这 样 一 组 不 同 的 环境 模型 ， 以 应 付 不 同 的 
需求 。 

9.5.6.3 可 追踪 性 

EAST - ADL 支持 一 个 包含 几 个 部 分 或 者 包含 几 个 表现 前 述 抽象 层次 (T) 
模型 的 集成 模型 。 在 不 同 的 抽象 层面 及 模型 不 同 部 位 的 实体 之 间 存 在 彼此 联系 。 
例如 ， 分 析 和 设计 层面 上 的 组 件 间 “实现 ”连接 识别 出 它们 所 实现 的 特征 。 








9.6 结论 


汽车 软件 和 电子 设备 的 复杂 性 及 重要 性 体现 在 对 于 工程 信息 的 管理 给 予 充 分 
文 持 是 十 分 必要 的 这 一 层面 上 。 应 用 汽车 ADL 有 好 几 个 优点 。 它 们 中 的 大 多 数 
涉及 一 个 事实 ， 那 就 是 大 量 的 工程 信息 共享 可 以 包含 在 一 个 相同 的 结构 中 。 

与 此 同时 ， 引 入 ADL 也 带 来 了 挑战 。 有 一 个 问题 就 是 实现 方式 的 选择 ， 不 同 
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的 方案 在 本 章 中 都 有 所 介绍 。 另 一 个 问题 是 范围 的 选择 ， 也 就 是 只 限制 单个 控制 单 
元 的 软件 体系 架构 ， 或 者 捕捉 整个 车 辆 的 要 求 、 可 变性 、 功 能 、 软 件 和 硬件 。 一 个 
主要 的 困难 ， 也 是 关键 的 问题 ， 就 是 公司 内 部 的 工作 流程 与 实践 之 间 的 彼此 矫正 ， 
它 还 不 能 仅仅 依 笔 技 术 手 段 来 解决 。 而 与 此 相关 的 是 用 户 的 认可 。 这 需要 对 新 方法 
和 工具 的 作用 进行 进一步 的 说 明 ， 让 他 们 对 此 有 更 加 透彻 的 理解 。 
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10.1 简介 和 本 章 概要 


车 辆 正在 逐渐 转化 为 有 自主 性 的 机 器 ， 它 们 能 在 事故 将 要 发 生 时 协助 区 驶 
人 ， 并 提供 路 况 信息 ， 能 按 要 求 进行 自我 诊断 和 升级 ， 同 时 还 能 提供 舒适 和 娱乐 
功能 。 汽 车 舱 入 式 系 统 的 不 断 进 化 为 如 此 全 新 的 功能 及 拓展 品质 的 实现 提供 了 可 
能 。 在 本 章 上 下 文中 可 以 发 现 ， 在 过 去 的 20 年 中 估计 有 70% 的 创新 都 涉及 信息 
和 通信 技术 "31 。 汽 车 逐渐 成 为 装 了 轮子 的 电脑 。 

车 辆 上 引入 内 入 式 系统 技术 的 影响 已 经 对 车 辆 开发 、 生 产 和 维护 产生 了 显著 
效果 ,并且 一 直 在 持续 。 在 过 去 的 几 十 年 来 ， 汽 车 藤 入 式 系 统 从 一 个 仅 用 少量 工 
程 来 设计 和 维护 的 足够 简单 的 单个 独立 计算 机 系统 ， 进 化 成 为 赛 括 数 个 网 络 与 大 
量 传感器 、 电 动机 和 人 机 互动 节点 的 分 布 式 计算 机 系统 。 这 些 分 布 式 系统 紧密 地 
集成 于 车 辆 中 。 它 们 能 提供 灵活 的 信息 传递 和 计算 能 力 ， 人 允许 执行 器 、 传 感 咒 和 
人 机 界面 (HMI) 相互 协调 ， 移 除了 机 械 零 件 ， 并 还 提供 了 全 新 机 械 设 计 。 汽 车 
其 入 式 系统 是 一 个 令 人 十 分 感 兴趣 的 领域 ， 在 这 里 机 械 与 控制 系统 的 世界 与 以 娱 
乐 、 和 远程 功能 为 代表 的 大 IT 世界 相遇 ， 并 见证 车 辆 外 部 架构 与 IT 系统 的 日 益 增 
强 的 联系 。 尽 管 机 会 是 如 此 之 大 ， 但 是 新 技术 同样 需要 新 的 竞争 、 新 的 方法 论 、 
新 的 流程 以 及 处 理 “硬币 的 另 一 面 ”的 工具 ， 这 些 必然 导致 产品 开发 复杂 性 的 
增加 与 变化 。 

元 争 、 消 费 者 需求 、 法 律 法 规 以 及 新 技术 都 促进 了 汽车 工业 引入 新 功能 。 和 车 
辆 的 许多 新 功能 都 跨越 了 传统 的 领域 和 组 织 形式 。 例 如 ， 主 动 安全 系统 能 通过 接 
受 环境 信息 、 解 读 和 驾驶 人 意图 、 控 制 汽车 动力 学 ， 以 及 万 一 在 事故 将 要 发 生 时 通 
知 紧 急 处 理 中心 的 方式 来 帮助 驾驶 人 。 不 断 增加 的 系统 复杂 性 和 与 之 相关 的 汽车 
般 入 式 系统 开发 、 维 护 成 本 的 增加 ， 为 系统 的 、 经 济 的 开发 方法 创造 了 极 大 的 
需求 。 

目前 汽车 嵌入 式 系统 的 开发 方法 会 导致 以 下 问题 250701 : 

。 设计 生产 时 间 长 ， 这 是 因为 汽车 整体 特性 只 能 在 集成 阶段 才能 检测 到 。 
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。 在 需求 定义 、 系 统 设计 和 分 布 式 系统 执行 之 间 缺 乏 连续 性 ， 尤 其 是 涉及 
不 同人 群 ， 且 很 少 有 正式 的 交流 。 

© 次 优 解 决 方案 。 组 织 架构 依然 能 反映 出 机 械 架 构 ， 因 为 当前 缺少 能 入 式 
系统 设计 的 系统 级 工程 方法 。 

当前 系统 集成 的 净 效 率 仍然 是 汽车 钥 入 式 系 统 开发 的 关键 问题 。 为 了 改善 这 
一 情况 ， 人 们 在 工业 和 研究 中 强力 推行 基于 模型 的 开发 (MBD). 


10.1.1 什么 是 MBD? 


基于 在 更 成 熟 的 工程 领域 积累 的 经 验 可 以 知道 ， 为 了 实现 经 济 有 效 的 复杂 系 
统 的 开发 ， 模 型 的 使 用 是 一 个 基本 步 又， 案例 详 见 参考 文献 [58, 78，85]。 工 
程 中 一 直 在 使 用 模型 。 模 型 中 隐 含 工程 师 的 思维 定式 ， 其 中 建立 的 物理 模型 / 原 
型 和 符号 /数值 模型 ， 比 如 几何 、 运 动 或 传 热 模型 ， 是 为 了 说 明和 评估 系统 的 特 
定 方面 。 计 算 机 辅助 工程 (CAE) 工具 的 问世 开辟 了 创建 虚拟 产品 的 完全 新 的 
设计 方法 的 道路 ， 可 用 于 评估 和 与 利益 相关 者 沟通 设计 ， 并 作为 系统 实现 的 基 
础 。 这 样 的 技术 早 就 在 机 械 工程 三 维 车 辆 模型 支持 设计 、 分 析 和 可 视 化 〈 简 称 
为 数字 /虚拟 原型 机 或 数字 样机 ) 中 得 到 了 确立 ， 详 细 内 容 见 参考 文献 【46， 
74, 85]. 

在 CAE 设置 中 的 不 同类 型 的 符号 和 数值 模型 ， 允 许 属性 和 方案 设计 的 评 佑 
先 于 物理 样机 人 研发。 这些 努力 旧 在 以 较 低 的 成 本 较 早 实现 设计 迭代， 从 而 明确 地 
支持 早期 设计 阶段 ， 降 低 项 目 风险 。 开 发 早期 可 执行 模型 的 能 力 意味 着 可 针对 系 
统 利益 相关 者 验证 该 模型 的 行为 。 它 所 具有 的 重要 意义 在 于 : 系统 内 容 、 假 设 以 
及 要 求 将 有 一 个 更 好 的 机 会 被 正确 捕捉 到 ， 并 在 开发 的 早期 ， 内 在 要 求 的 折 中 能 
够 做 到 更 加 明确 。 与 此 相关 的 是 虚拟 产品 和 快速 成 型 的 概念 往往 使 得 开发 中 的 并 
行 工 程 成 为 可 能 ， 例 如 允许 概念 评 佑 在 物理 硬件 可 用 之 前 。 

众所周知 ， 根 据 系统 工程 的 观点 ， 建 模 和 仿真 并 不 是 最 终 目 的 本 身 ， 它 们 应 
该 添加 容易 处 理 的 值 。 建 模 与 仿真 在 系统 工程 中 ,通常 被 称 为 降低 风险 的 技术 ， 
并 显示 了 在 支持 系统 决策 中 的 应 用 。 从 系统 和 机 械 工程 的 经 验 教训 也 表明 ， 所 有 
类 型 的 模型 一 一 包括 心理 、 生 理 以 及 象征 性 模型 ， 都 有 它们 自己 的 作用 和 位 置 ， 
但 同样 计算 机 模型 正在 慢 慢 取代 物理 样机 [78'55] 。 

本 章 讨 论 专注 于 上 能 人 式 系统 的 计算 机 辅助 建 模 。 在 这 个 方面 ， 有 几 个 学 科 / 
领域 促进 了 MBD 的 发 展 。 案 例 包 括 “ 基 于 模型 的 控制 设计 ”一 一 其 中 控制 系统 
是 基于 受 控 环境 的 模型 设计 ;“ 模 型 驱动 的 设计 ”一 一 强调 软件 的 图 形 描 述 及 模 
型 转换 的 概念 ; “基于 模型 的 信息 管理 ”一 一 其 中 模型 用 于 说 明和 构建 信息 实 
体 ; 以 及 “基于 模型 的 测试 ” 其 中 设计 或 环境 的 模型 是 测试 中 使 用 的 ， 比 
如 硬件 在 环 测试 ,或 模型 用 于 推导 测试 案例 。 其 他 相关 的 条 款 包括 ， 基于 模型 的 
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系统 工程 、 形 式 化 方法 和 模型 驱动 的 工程 。 这 些 及 其 他 的 MBD 解释 ， 反映 出 考 
虑 MBD 的 是 以 “领域 /学 科 工 程 ”( 比如 控制 、 软 件 设计 )、“ 系统 工程 ”( 与 整 
体 租 入 式 系统 设计 或 “管理 流程 ”比如 信息 化 管理 有 关 ) 为 目的 。 

已 经 完成 的 若干 种 模型 、 建 模 语言 、 方 法 和 方法 论 分 类 ， 它 们 反映 了 不 同 目 
的 MBD 的 方法 2022 356 。 案 例 包 括 区 别 : 

e 建 模 目 的 ， 比 如 分 析 、 描 述说 明 ， 或 基于 模型 的 设计 。 

。 形式 的 程度 和 形式 化 的 类 型 。 

。 不 同 的 建 模范 围 和 抽象 的 层次 ， 例 如 ， 系 统 内 容 建 模 相对 于 系统 结构 或 
行为 建 模 ， 或 规范 建 模 相对 于 实际 行为 建 模 。 

形式 模型 也 可 以 称 为 数学 或 分 析 模型 ， 它 们 已 经 表明 是 非常 重要 的 澄清 和 解 
决 工程 问题 的 工具 。 针 对 预测 系统 性 能 目的 ， 形 式 模型 强调 行为 和 结构 。 形 式 模 
型 的 案例 包括 计算 机 辅助 设计 (CAD) 中 的 几何 描述 、 用 来 描述 动态 系统 输入 
输出 (0) 特性 的 传递 函数 、 描 述 部 分 级 数 与 有 限 状 态 机 带 的 离散 数学 。 

概念 模型 最 经 常 以 图 形 的 形式 来 证 明 在 传达 和 记录 复杂 软件 和 系统 方面 有 价 
值 。 这 样 的 概念 模型 的 例子 包括 架构 描述 语言 (ADL) 和 统一 建 模 语言 
(UML) "14! 。 概 念 模型 的 形式 可 以 有 所 不 同 ， 例 如 ， 人 允许 语法 和 一 致 性 检查 ， 
但 不 允许 对 软件 逻辑 的 正确 性 进行 形式 分 析 。 

建设 性 模型 侧重 于 系统 的 操作 行为 ， 并 形成 了 设计 本 身 (从 详细 说 明 开 始 ， 
一 直到 解决 方案 ) 的 直接 依据 。 软 件 和 电子 设备 多 年 来 的 复杂 性 的 增加 ， 带 来 
了 进行 中 的 系统 设计 的 抽象 层 的 发 展 。 这 方面 的 例子 包括 编程 语言 的 发 展 : 从 汇 
编 到 高 级 语言 、 编 程 平台 、 库 函数 和 中 间 层 ， 并 从 门 跨 过 寄存 器 、 传 输 到 系统 级 
的 硬件 设计 。 其 结果 就 是 : 系统 设计 由 建设 性 行为 模型 规定 ， 其 中 的 中 心思 想 是 
从 高 层次 模型 到 实施 的 步骤 实现 自动 化 。 

所 有 这 些 类 型 的 模型 紧密 相关 ， 且 有 时 会 部 分 地 重奏 。 座 刻 地 反映 在 这 些 类 
型 的 诠释 和 分 类 上 : 就 是 具有 不 同 的 目标 、 目 的 和 建 模 工 作 范围 ， 以 及 事实 上 一 
个 单一 的 建 模 语 言 不 能 处 理 能 入 式 系统 的 所 有 方面 。 汽 车 嵌入 式 系统 的 开发 需要 
多 个 专家 ， 他 们 中 每 一 个 的 关注 点 各 有 侧重 ， 例 如 : 软件 、 电 子 、 机 电 一 体 化 、 
车 辆 动力 学 、 电 磁 干 扰 和 安全 。 每 个 群体 提供 包括 工具 在 内 的 专门 的 方案 ,解决 
他 们 所 从 事 领 域内 的 问题 。 因 而 架构 和 集成 就 成 为 关键 问题 。 

对 于 汽车 的 能 入 式 系统 来 说 ， 所 有 这 些 类 别 的 模型 都 发 挥 了 重要 作用 。 在 本 
章 中 ， 我 们 试图 提供 一 个 全 面 的 MBD 框架 。 只 要 形式 模型 、 设 计 模 型 以 及 概念 
模型 用 成 文 的 语法 和 语义 构成 明确 的 系统 描述 ， 且 其 中 的 模型 语法 和 语义 必须 足 
够 正式 ， 满 足 计算 机 操作 和 一 定 程度 的 自动 化 分 析 ， 那么 该 框架 允许 形式 模型 、 
设计 模型 以 及 概念 模型 存在 。 

模型 可 以 看 作 认 知 工具 ， 可 以 对 设计 过 程 中 需要 的 推理 和 决策 方面 帮助 研发 
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人 员 。 特 别 地 ， 模 型 的 使 用 通过 提高 抽象 层次 ， 并 提供 对 系统 描述 的 专业 看 法 ， 
可 以 帮助 开发 者 降低 感知 系统 的 复杂 性 。MBD 还 支持 早期 工作 的 复 用 、 确 定 设 
计 步 又 的 自动 化 和 系统 性 能 的 预测 。 为 了 实现 高 效 ， 模 型 因而 构成 实际 或 想象 系 
统 的 抽象 表示 。 为 了 实现 有 效 ， 模 型 需要 保留 并 带 来 与 一 个 或 多 个 与 明确 目标 有 
关 的 此 系统 基本 性 质 。 

至 于 其 他 条 款 ， 存 在 很 多 的 推荐 MBD 的 定义 。 除 了 分 辨 模型 的 形式 层次 以 
及 它 是 否 适 用 于 分 析 、 设 计 与 交流 的 目的 ， 模 型 也 可 以 被 应 用 到 系统 的 不 同 部 
分 ， 应 用 在 不 同 的 抽象 层次 中 ,并 应 对 不 同 的 性 质 和 设计 参数 。 下 面 的 章节 将 阐 
述 这 些 内 容 和 不 同 的 诠释 。 

我 们 把 MBD 解释 为 : 在 基于 模型 的 研发 中 ， 计 算 机 模型 作为 系统 开发 的 一 
部 分 ， 被 用 来 支持 交流 、 记 录 、 分 析 和 综合 。 在 这 种 方法 中 ， 模 型 因而 形成 了 不 
同 机 构 团 队 之 间 互 动 的 基础 、 同 一 研发 阶段 与 不 同 研 发 阶段 之 间 的 信息 流 的 基 
础 ， 并 形成 制定 设计 决策 的 基础 。 

有 趣 的 是 MBD 的 一 些 定义 或 诠释 包含 了 关键 字 “ 驱 动 "。 人 研发 可 以 还 是 应 
该 由 模型 来 驱动 以 及 在 何 种 意义 上 ? 从 产品 数据 管理 (PDM) 和 机 械 工程 领域 ， 
提供 了 一 个 试探 性 的 答案 。 在 这 些 领 域 中 ， 术 语 模型 驱动 涉及 使 用 的 不 同类 型 的 
模型 ， 它 们 包括 技术 产品 模型 〈 在 设计 过 程 中 ， 代 表 如 车 辆 的 几何 形状 和 动力 
学 的 产品 的 不 同方 面 ) 、 产 品 的 信息 模型 〈 摘 述 产 品 配置 、 零 件 和 元 数据 ) 和 开 
发 过 程 模型 (描述 研发 阶段 、 工 作 、 事 件 和 涉及 人 的 角色 ) 。 当 设计 研发 过 程 模 
型 且 在 PDM 系统 中 实施 时 ， 它 实际 上 可 以 驱动 设计 ,例如 ， 在 设计 完成 后 尽快 
通知 测试 人 员 ， 或 一 旦 有 效 的 配置 可 以 建立 时 ， 可 以 促使 软件 自动 重建 。 因 此 ， 
这 种 模型 驱动 工程 概念 覆盖 了 若干 类 型 的 产品 模型 以 及 流程 模型 。 针 对 本 章 的 目 
的 ,考虑 到 目前 该 领域 的 发 展 成 熟 性 ， 我 们 发 现 越 来 越 有 充分 的 理由 表明 我 们 选 
择 的 术语 MBD 的 合理 性 。 

MBD 方法 意味 着 在 一 个 机 构 中 合理 地 利用 一 些 技 术 。 引 入 MBD 本 质 上 需要 
机 构 中 对 MBD 熟悉 的 技能 人 才 ， 需要 理解 采用 诸如 目标 、 驱 动 程序 、 需 求 与 范 
围 的 背景 。MBD 方法 可 能 需要 对 现存 的 流程 与 机 构 做 出 改变 。 同 样 重要 的 是 ， 
为 针对 MBD 的 技术 与 相关 理论 如 何 使 用 提供 指导 方针 的 方法 论 的 有 效 性 与 发 展 。 
合理 采用 MBD， 可 以 提高 功能 与 产品 质量 ， 并 促进 研发 更 快 、 资 源 更 省 〈 这 些 
目标 存在 冲突 ， 合 理 选 择 MBD 方法 将 能 够 突出 一 个 或 多 个 目标 ) 。 


10.1.2 ”本章 概要 


写 一 章 有 关 汽 车 垦 和 信 式 系统 的 MBD 确实 是 一 项 刺激 和 富有 挑战 性 的 任务 。 
鉴于 现 有 的 解释 、 实 际 情况 和 众多 的 研究 工作 ， 这 种 情况 很 容易 变 得 扑朔迷离 。 
虽说 MBD 通过 成 熟 使 用 的 工具 如 CAD、 计 算 机 辅助 制造 (CAM)、PDM， 牢 固 
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建立 于 比如 汽车 机 械 工程 实践 中 ,但 舱 入 式 系 统 开发 中 的 MBD 使 用 尚 处 于 起 步 
阶段 。 方 法 是 分 散 的 ， 做 法 在 同一 应 用 领域 内 与 跨行 业内 各 不 相同 。 产 生 这 种 情 
况 的 一 些 原 因 在 于 机 械 工程 传统 和 藤 入 式 系 统 应 用 和 技术 不 断 变化 的 性 质 。 这 需 
要 时 间 来 改变 传统 。 综 合 应 用 藤 入 式 系 统 的 模型 、 工 具 和 方法 论 仍然 远 非 那么 简 
A, 向 入 式 系 统 也 是 多 学 科 和 多 种 多 样 的 。 方 法 论 和 支撑 工具 在 与 日 益 增 加 的 复 
杂 性 保持 同步 方面 存在 困难 。 这 对 于 软件 、 系 统 架 构 和 集成 是 特别 真实 
的 4393982] 。 传 统 和 有 时 的 不 成 熟 的 方法 与 工具 对 MBD 的 方法 使 用 构成 了 障碍 。 
不 过 ，MBD 方法 同时 也 提供 手段 来 管理 不 断 增 加 的 产品 、 工 艺 和 组 织 的 复杂 性 
所 带 来 的 一 些 挑 战 。 

因此 本 章 的 总 体 日 标 之 一 是 提供 一 个 MBD 是 关于 什么 的 、 增 长 的 全 面 了 解 。 
本 章 的 结构 按照 引导 问题 来 构成 : 为 什么 、 是 什么 以 及 如 何 。 本 章 所 提供 的 框架 
见 表 10.1， 该 表 说 明 MBD 的 “目标 ” “驱动 器 ” (使 得 MBD 值得 投资 的 因素 ) 
以 及 为 了 管理 复杂 性 、 风 险 和 复 用 ， 从 而 提高 到 达 目 标的 机 会 由 MBD 提供 的 
“方法 ”。MBD 通过 其 手段 加 强 了 交流 、 记 录 、 分 析 和 综合 能 力 ， 促 进 了 高 效 和 
有 效 的 研发 过 程 。MBD 工作 有 一 个 特定 “范围 ”的 组 织 、 流 程 和 产品 的 “内 
容 ” 和 MBD 方法 瞄准 的 “关注 点 ”。 特 定 的 内 容 和 关注 点 将 决定 “要 求 ” 和 约 
束 ， 并 能 够 做 出 MBD 技术 的 合理 选择 。 

本 章 通 过 提供 最 高 学 术 水 平和 工业 实践 的 简要 说 明 来 补充 这 些 观 点 。 虽 然 强 
调 的 是 系统 研发 ， 但 对 其 他 生命 周期 阶段 的 影响 也 贯穿 整个 章节 。 本 章 最 后 综合 
考虑 采取 或 延长 其 使 用 的 MBD 行业 准则 。 从 研究 的 角度 来 看 ， 本 章 提 供 了 工业 
需求 的 考察 ， 符 合 多 方 的 认可 ， 实 现 了 对 问题 的 全 面 了 解 。 

表 10.1 理解 MBD 的 关键 点 









































































































































为 什么 做 什么 如 何 做 
总 目标 驱动 器 方法 技术 采用 的 关键 点 
功能 复杂 性 象 化 技术 /产品 语言 定义 “为 什么 ”和 
质量 危害 性 形式 化 流程 模型 范围 
时 间 标准 化 与 结构 化 机 构 综合 户 和 管理 参与 
资源 成 熟 度 可 视 化 商业 分 析 战略 /采用 计划 
创新 精品 化 工具 流程 和 机 构 考虑 
预测 公式 
自动 化 
方法 论 
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10.2 汽车 庶 入 式 系 统 推动 MBD 


可 以 从 多 个 视角 接近 MBD。 在 本 节 我 们 首先 描述 MBD 方法 在 基本 研发 活动 
方面 支持 扮演 的 角色 ， 以 及 实现 这 一 点 所 采用 的 主要 手段 。 然 后 ， 我 们 面 对 
MBD 的 主要 目标 和 驱动 因素 ， 对 MBD 方法 作出 解释 。 对 MBD 手段 的 讨论 提供 
了 一 个 有 关 MBD 潜在 能 力 的 广义 推理 ， 以 改善 交流 、 记 录 、 分 析 和 综合 。 实 际 
实现 这 些 功 能 将 依赖 于 一 些 因 素 ， 它 们 将 在 本 章 后 续 章 节 中 讨论 。 重 要 的 一 点 
Æ, MBD 方法 的 预期 利益 仅 是 潜在 的 ， 且 依赖 于 范围 、 选 择 的 技术 以 及 如 何 采 
用 MBD 方法 ， 并 集成 到 机 构 中 。 


10.2.1 MBD 在 汽车 葡 入 式 系统 研发 中 的 角色 


在 设计 一 个 般 入 式 系 统 的 过 程 中 ,模型 可 以 在 许多 方面 帮助 设计 师 。 随 着 系 
统 复杂 性 的 增加 ，MBD 最 终 会 变 成 一 个 支持 系统 设计 必需 的 方法 。 因 此 ,采用 
MBD 的 一 个 核心 动机 就 是 作为 补救 措施 ， 以 管理 系统 的 复杂 性 。 

汽车 藤 入 式 系统 的 研发 必须 处 理 (BD) 三 个 方面 的 复杂 性 : 工艺 复杂 性 、 
产品 复杂 性 和 组 织 复杂 性 。 研 发 过 程 面临 着 一 些 挑 战 、 冲 突 和 不 断 变 化 的 需求 。 
比如 ， 一 个 这 样 的 例子 可 以 是 一 个 主动 安全 系统 给 驾驶 人 提供 制 动 辅助 。 和 衣 入 式 
系统 的 研发 必须 考虑 驾驶 人 舒适 性 、 安 全 性 、 可 靠 性 和 性 能 的 要 求 ， 以 及 紧张 的 
硬件 成 本 预算 和 现 有 的 功能 、 组 件 / 平 台 、 技 术 与 机 械 设 计 所 施加 的 限制 。 不 同 
的 需求 通常 与 几 个 利益 相关 者 联系 起 来 ， 需要 建立 起 一 种 相互 理解 和 利益 折 中 平 
衡 。 进 一 步 的 发 展 涉及 协同 和 利用 多 个 领域 的 一 些 技术 、 工 具 和 活动 。 其 中 集成 
是 必 不 可 少 的 ,但 受到 不 同 研发 速度 (硬件 与 软件 )、 不 易 实 现 交换 操作 的 工 

具 、 分 布 信息 以 及 分 布 在 不 同 的 组 织 实体 中 任务 的 挑战 。 汽 车 般 入 式 系 统 技术 异 

质 性 也 带 来 复杂 性 。 该 系统 行为 通常 是 非 平凡 预测 ， 因 为 存在 许多 类 型 的 实体 和 
相互 作用 以 及 由 此 产生 的 大 的 系统 状态 空间 。 组 织 方面 关注 的 是 从 不 同 的 工程 团 
队 和 组 织 资 源 的 整合 (人 、 工 具 与 信息 等 ) 。 

为 了 管理 这 种 复杂 性 ， MBD 的 方法 可 以 为 设计 师 提 供 四 个 主要 的 研发 活动 
的 支持 : 交流 、 记 录 、 分 析 和 设计 综合 。 一 个 MBD 的 方法 ， 通 过 它 隐 含 的 相关 
技术 和 理论 ， 提 供 了 几 种 手段 来 支持 这 些 活动 ， 它 们 包括 抽象 化 、 形 式 化 、 预 测 
和 自动 化 。 基 于 对 这 些 活动 的 支持 ， 可 以 总 结 出 迭代 和 组 合 比如 说 用 于 变更 管 
理 活动 也 可 以 提供 支持 。 

10.2.1.1 交流 的 想法 和 设计 

图 片 描述 的 软件 和 系统 已 使 用 了 几 十 年 ， 表明 需要 使 用 简化 的 系统 描述 来 进 
行 交 流 “图 片 可 以 说 明 一 千 多 字 ， 或 代 蔡 数 行 代码 ”。 由 于 系统 复杂 性 的 增 
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加 ,图片 描 述 的 作用 已 经 变 得 越 来 越 重 要 L1044 .3] 。 提 供 一 个 或 多 个 共享 系统 
在 模型 方面 的 意见 是 设计 的 核心 概念 传达 给 其 他 利益 相关 者 的 一 个 重要 途径 。 通 
过 提供 一 种 语言 和 术语 标准 化 、 建 立 一 致 系统 模型 ， 还 可 以 促进 开发 人 员 之 间 的 
交流 。 如 果 模 型 包括 一 个 可 执行 的 行为 描述 ， 那 么 这 将 实现 可 视 化 ， 也 就 是 可 以 
看 到 系统 是 如 何 进 行 交流 的 。 这 个 属性 被 认为 是 非常 重要 的 ， 它 支持 各 种 利益 相 
关 者 进行 的 特性 确认 一 一 “这 是 一 个 理想 的 产品 特性 吗 ?” 可 执行 的 模型 可 以 用 
于 所 需 的 或 预期 的 设计 特性 的 交流 ， 从 而 也 可 以 构成 人 的 分 析 和 决策 的 基础 。 应 
该 指出 的 是 ， 图 表 或 图 片 并 不 总 是 能 提供 最 充分 的 表示 。 已 经 提出 了 许多 其 他 的 
符号 ， 它 们 包括 设计 结构 矩阵 和 表格 表示 1 75] 。 

10.2.1.2 记录 和 管理 设计 信息 

考虑 到 它们 的 生命 周期 包括 开发 、 生 产 、 维 护 和 退役 ,文档 对 于 诸如 汽车 垦 
人 和信 式 系统 这 样 的 产品 来 说 是 极为 重要 的 。 合 适 的 记录 对 于 文 持 维护 、 系 统 变 更 、 
已 经 开发 出 来 的 系统 设计 /组 件 的 复 用 等 是 必 不 可 少 的 。 随 着 产品 复杂 性 的 增加 ， 
记录 将 不 再 满足 于 使 用 基于 文本 的 文档 了 。 特 别 是 ,管理 文档 的 变化 和 发 布 一 个 
FRAY CER AAR SAE IT, EMT RES ER LAFF A, EMRE 
难以 处 理 重奏 和 相对 于 其 他 设计 构件 的 依赖 关系 ， 例 如 ， 需 求 文档 和 设计 规范 
(要 求 的 变化 将 需要 更 新 , 或 至 少 检查 受 影响 的 部 分 设计 ) 之 间 的 依赖 关系 。 设 
计 实 体 的 不 同 版 本 和 产品 配置 的 变种 版 本 进一步 带 来 了 复杂 性 。 可 能 的 部 件 组 合 
数量 ， 造 成 很 难为 一 个 完整 的 产品 线 设 置 一 个 有 效 的 通用 文档 。 汽 车 系统 研发 中 
的 并 行 工程 带 来 了 更 多 的 挑战 ， 因 为 当 多 次 访问 相同 信息 和 相同 信息 发 生变 化 
时 ， 需 要 保证 信息 的 一 致 性 :5 。 利 用 信息 模型 描述 涉及 的 信息 实体 以 及 它们 
之 间 如 何 相关 的 基于 模型 的 信息 化 管理 ， 可 以 促进 复 用 和 维护 。 基 于 模型 的 信息 
管理 方法 ， 通 过 记录 基本 原理 、 设 计 的 假设 以 及 设计 实体 的 状态 ， 可 进一步 提高 
复 用 和 维护 功能 。 通 过 附加 约束 、 引 用 和 设计 实体 属性 (包括 “元 数据 ”的 描 
述 ， 例 如 谁 负 责 设 计 ) ， 做 到 这 点 是 有 可 能 的 。 另 一 方面 ， 需 要 额外 的 工作 来 提 
供 元 数据 ， 以 及 规范 的 开发 流程 来 文 持 MBD 方法 。 

10.2.1.3 设计 系统 的 支撑 分 析 

分 析 可 以 为 了 设计 空间 探索 的 目的 进行 ， 以 验证 系统 符合 规定 或 验证 的 目 
的 ， 以 保证 要 求 和 期 望 的 行为 确实 是 那些 系统 利益 相关 者 的 预期 。 分 析 对 于 骨 入 
式 系统 特别 重要 ， 这 是 因为 它们 的 异 质 性 (存在 许多 实体 与 相互 作用 的 类 型 ) 
和 可 靠 性 所 要 求 的 。 困 难 的 、 昂 贵 的 、 甚 至 无 法 人 工 检查 的 属性 案例 ， 包 括 系统 
的 逻辑 修正 (其 至 较 小 的 般 入 式 系 统 也 可 以 有 一 个 大 得 离谱 的 状态 空间 ) 、 系 统 
时 序 行为 (特别 针对 分 布 式 系统 ) 、 系 统 的 错误 行为 (出 错 的 来 源 有 很 多 ,通过 
什么 方式 错误 可 能 传播 )。 此 外 ， 般 入 式 系统 与 它 的 环境 深入 互动 ， 因 而 要 求 舰 
人 式 系 统 的 建 模 和 分 析 与 它 的 环境 放 在 一 起 。MBD 可 以 是 传统 验证 技术 的 一 个 
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非常 重要 的 补充 ， 它 包括 了 审查 、 测 试 (通过 启动 仿真 、 快 速成 型 、 基 于 模型 
的 自动 化 测试 ) 和 正式 验证 。 许 多 汽车 的 和 谍 入 式 系 统 的 品质 或 环节 是 互相 依赖 
的 。 比 如 ， 系 统 结构 的 改变 提高 了 系统 的 灵活 性 ， 但 降低 了 性 能 。 给 定 一 个 正式 
的 系统 模型 ， 允 许 用 一 个 更 加 系统 化 的 方式 探讨 系统 设计 参数 和 品质 之 间 的 依赖 
关系 ， 提 高 设计 折 中 的 品质 。 为 支持 所 有 这 些 类 型 的 分 析 ， 需 要 捕捉 待 分 析 系 统 
的 相关 方面 的 系统 描述 ， 比 如 所 需 的 特性 、 功 能 和 实现 的 设计 以 及 环境 特性 。 

10.2.1.4 综合 解决 方案 和 支持 文件 

我 们 使 用 术语 综合 是 为 了 反映 设计 和 支持 文件 ， 比 如 文档 的 创建 (或 组 
合 ) 。 此 创建 可 手动 或 或 多 或 少 自动 化 。 综 合 的 第 一 步 是 捕捉 设计 师 的 想法 ( 心 
智 模 式 ) 或 其 他 信息 ， 比 如 计算 机 模型 中 的 约束 。 给 定 的 形式 化 模型 ， 可 以 通 
过 使 用 交流 和 分 析 模 型 或 添加 的 目的 在 于 随后 使 用 或 复 用 的 信息 。 人 工 创建 和 操 
纵 的 设计 (其 中 新 的 和 现 有 的 元 素 组 合 在 一 起 ， 从 而 形成 一 个 整体 ) 由 建 模 语 
言 (用 文字 或 图 形 表 示 ) 和 提供 模型 编辑 器 的 工具 支持 。 当 规则 已 定义 了 如 何 
创建 模型 后 ， 自 动 综合 是 有 可 能 的 。 存 在 几 个 自动 综合 的 案例 是 可 能 的 。 一 个 案 
例 是 系统 解决 方案 生成 ， 其 中 计算 机 工具 用 于 搜索 或 派生 系统 解决 方案 ， 如 一 个 
可 行 的 调度 或 分 布 式 能 入 式 系统 中 的 任务 最 优 分 配 〈 见 参考 文献 [6] ) 。 另 一 个 
案例 是 从 模型 生成 代码 。 行 为 设计 开发 往往 用 图 形 化 建 模 语言 /工具 ， 如 Matlab/ 
Simulink 17! 。 这 些 模型 可 用 于 分 析 功 能 的 行为 ， 且 以 后 被 用 作 相 应 实施 的 规范 。 
在 许多 情况 下 ， 这 种 实施 是 由 其 他 团队 来 实现 的 ， 因 而 留 下 了 对 规范 误解 的 空 
间 。 这 可 能 会 导致 设计 和 执行 之 间 的 差异 ， 并 在 执行 中 可 能 出 现 失 败 ， 这 些 问 题 
都 可 以 使 用 代码 生成 来 缓解 。 代 码 生 成 可 以 被 用 于 多 种 用 途 ， 可 以 适用 于 应 用 逻 
辑 、 粘 接 代码 或 平台 的 功能 部 分 。 尽 管 逆向 工程 构成 了 艇 入 式 系 统 的 一 个 研究 领 
W, 但 逆向 工程 〈 创 建 模型 以 更 好 地 了 解 现 有 的 系统 ， 例 如 ， 从 观察 到 的 行为 
到 任务 行为 模型 ) 还 是 综合 的 另 一 个 实例 。 综 合 的 其 他 案例 包括 文档 、 测 试 信 
息 和 分 析 模 型 的 生成 。 


10.2.2 MBD 方法 


MBD 的 方法 可 以 直接 支持 和 有 目的 改进 系统 研发 中 的 交流 、 记 录 、 分 析 和 
综合 。 实 现 这 一 点 的 主要 手段 包括 以 下 内 容 。 

© 抽象 : 虽然 这 些 概念 可 能 会 或 可 能 不 会 在 现实 中 有 直接 对 应 ， 但 建 模 提 
供 了 手段 来 定义 对 设计 有 用 的 实体 和 方方面面 ， 如 各 类 功能 (信息 综合 ) 、 失 效 
模式 (质量 或 特定 方面 的 抽象 )、 虚 拟 结构 (部 分 - 整体 结构 组 成 )、 传 递 函数 
和 状态 机 (抽象 行为 实体 ) 和 依赖 关系 (分 配 、 细 化 )。 这 种 抽象 的 概念 的 定义 
有 助 于 定义 简化 的 ， 或 者 说 复杂 现实 世界 相当 充分 描述 中 的 无 用 的 细节 被 删除 ， 
而 重要 的 方面 被 突出 。 
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。 形式 化 、 参 数 化 和 结构 化 : 为 了 有 一 个 明确 的 意义 ， 并 经 得 起 分 析 和 计 
算 机 操作 的 模型 ， 必 须 使 用 一 个 定义 明确 的 语法 和 语义 描述 ， 确 定 哪些 模型 在 建 
模 语言 上 下 文 、 描 述 和 意义 中 是 有 效 的 。 几 个 采用 模型 形式 化 之 间 的 映射 与 关系 
也 需要 公式 化 。 为 了 获得 可 读 的 模型 ， 并 实现 关注 点 分 离 ， 一 个 合适 的 模型 结构 
是 非常 重要 的 。 结 构 化 由 抽象 和 形式 化 依次 启用 。 参 数 化 的 概念 有 利于 复 用 和 使 
已 存在 的 模型 实例 化 ， 其 中 具体 数值 分 配给 模型 变量 ,为 的 是 模型 适应 于 特定 
用 途 。 

。 预测 : 通过 不 同 的 模型 分 析 技 术 ， 可 以 确定 模型 的 属性 。 这 些 属性 可 以 
基于 模型 属性 〈 例 如， 转动 惯量 和 逻辑 常数 ) 计算 出 来 ， 也 可 以 根据 模型 内 容 ， 
比如 模型 输入 或 平台 及 其 他 组 件 的 假定 (例如 终端 到 终端 的 响应 时 间 、 故 障 和 
危险 之 间 的 关系 )。10.4 节 给 出 分 析 技 术 的 概述 。 

。 可 视 化 建 模 : 通过 抽象 和 形式 化 来 建 模 ， 提 供 了 可 视 化 的 系统 结构 的 手 
段 。 通 过 预测 ， 例 如 通过 模拟 ， 系 统 的 行为 也 可 以 是 可 视 化 (动画 )， 促 进 理解 
系统 是 什么 (结构 )， 和 系统 展现 什么 (行为) 。 

。 精细 化 : 使 用 连续 模型 (通过 增加 细节 和 包括 更 多 的 方面 来 描述 ) 通过 
较 早 的 手段 包括 抽象 化 、 形 式 化 、 结 构 化 和 预测 得 到 支持 。 

。 可 追溯 性 : 抽象 、 形 式 化 和 结构 化 提供 手段 支持 设计 信息 的 可 追溯 性 。 
加 上 预测 ， 这 也 能 够 调查 变化 的 影响 ， 支 持 变 化 管理 。 

。 自动 化 : 自动 化 的 可 能 性 结合 计算 机 支持 等 手段 ， 使 前 面 提 到 的 所 有 的 
开发 活动 自动 化 。 案 例 包括 交流 自动 启动 某 个 设计 师 / 利 益 相 关 者 的 发 展 ( 子 ) 
活动 完成 后 ， 当 管理 一 致 性 的 相关 模型 已 经 发 生变 化 时 相关 模型 的 更 新 ， 使 用 测 
试 脚本 的 基于 模型 的 全 天 测试 ， 基 于 数学 的 模型 分 析 和 自动 细 化 。 可 以 看 出 ， 对 
于 一 些 活动 的 自动 化 要 求 不 仅 需 要 产品 模型 ， 而 且 还 需要 过 程 一 一 研发 活动 的 
模型 。 

我 们 相信 ， 这 种 方法 应 该 是 手段 的 一 部 分 ， 如 表 10.1 所 示 。 然 而 ， 尚 未 建 
立 航 入 式 系 统 工程 的 方法 ， 虽 然 有 几 种 方法 在 使 用 。 将 在 10. 5. 2 节 中 进一步 说 
明 MBD 方法 。 


10.2.3 MBD 的 驱动 因素 


采用 MBD 方法 的 驱动 因素 是 什么 ? 很 显然 ,使 用 MBD 方法 需求 是 随 产 品 复 
杂 性 的 增加 而 增加 。MBD 方法 为 交流 、 记 录 、 分 析 和 综合 舱 入 式 系 统 提供 了 更 
好 的 方法 。 这 是 通过 抽象 化 、 形 式 化 和 结构 化 信息 、 性 能 预报 与 自动 化 获得 的 。 
对 于 简单 的 系统 中 ， 交 流 、 分 析 和 综合 的 任务 变 得 非常 容易 ， 因 此 引入 MBD 可 
能 不 值得 。MBD 方法 的 实施 是 昂贵 和 费时 的 ， 因 为 模型 要 创建 、 验 证 和 管理 ， 
同时 要 获取 维护 工具 ， 并 需要 对 人 员 进 行 培训 。 
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能 够 重用 建 模 及 工具 努力 使 研发 更 具 成 本 效益 。 再 利用 包括 投入 在 建 模 、 分 
析 、 综 合 、 设 置 工具 方面 重用 工作 的 可 能 性 。 重 用 的 机 会 增加 了 更 多 成 熟 性 和 标 
准 化 ， 而 这 是 相关 产品 和 技术 将 要 成 为 的 3341 。 然而， 模型 的 重用 需要 注意 
保 原始 模型 中 的 基本 假设 在 重用 场景 中 是 有 效 的 (〈 见 参考 文献 [33] ) 。MBD 通 
过 形式 化 、 结 构 化 、 了 解 系统 行为 的 预测 、 参 数 化 现 有 模型 来 支持 重用 。 

MBD 的 相关 也 受到 将 要 生产 产品 “临界 状况 ”的 影响 ， 其 中 临界 状况 可 以 
指 的 是 成 本 或 在 这 个 意义 上 的 关键 任务 系统 的 可 靠 性 。 虽 然 复 杂 性 增加 了 失败 的 
概率 ， 但 临界 性 捕获 其 他 维度 一 一 通常 是 风险 的 一 部 分 。MBD 方法 通过 形式 化 、 
预测 、 自 动 化 、 分 析 未 知 可 能 行为 ， 来 提供 手段 支持 风险 管理 。 至 少 在 成 本 、 可 
行 性 和 安全 性 的 意义 来 考虑 临界 性 ， 这 是 一 个 汽车 系统 的 相关 的 驱动 吉 。 基 于 模 
型 的 分 析 和 测试 ， 可 以 成 本 效益 的 方式 评估 系统 的 行为 和 极端 状态 。 对 于 真实 的 
系统 ， 这 样 的 条 件 和 评估 可 能 非常 花 钱 、 困 难 ， 开 展 工作 也 是 危险 的 。 此 外 ， 基 
于 模型 的 方法 提供 了 定义 明确 的 、 可 重复 测试 的 便利 。 

因此 ， 我 们 确定 采用 MBD 方法 主要 有 三 种 驱动 因素 。 

。 复杂 性 管理 得 到 加 强 : 通过 系统 的 专门 模型 ， 为 交流 设计 提供 支撑 ; 通 
过 管理 记录 和 产品 结构 (实体 、 属 性 和 错综复杂 的 依赖 关系 ) 提供 信息 集成 ; 
并 支持 产品 现象 的 分 析 ， 否 则 在 设计 过 程 中 将 难以 处 理 或 无 法 处 理 。 通 过 这 些 模 
型 ， 设 计 师 可 以 对 相关 方面 集中 精力 ， 且 可 以 更 加 自由 地 调查 它们 ， 从 而 实现 重 
复 性 和 操纵 所 有 变量 的 可 能 性 。 基 于 模型 的 信息 管理 方法 针对 复 用 与 不 同 的 设计 
实体 的 维护 提供 了 额外 的 支持 。 应 当 指 出 ，MBD 方法 在 一 定 程度 上 增加 了 开发 
过 程 中 的 复杂 性 ， 因 为 它 是 通过 添加 工具 和 创建 更 明确 的 信息 来 实现 的 。 虽 然 
MBD 的 预测 和 自动 化 方法 是 有 益 的 且 人 允许 更 大 的 设计 空间 探索 和 验证 ， 但 它们 
也 创造 了 更 多 的 信息 ， 从 而 增加 了 用 于 结构 化 信息 的 管理 需求 。 

。 成 熟 和 标准 化 的 技术 和 产品 提供 了 应 用 标准 化 和 形式 化 描述 技术 的 机 会 ， 
并 增加 了 复 用 开发 工作 的 可 能 性 。 

© 成 本 或 财务 关键 系统 得 益 于 MBD: 在 部 署 之 前 通过 预测 和 验证 系统 属性 
的 手段 ， 从 而 提供 风险 评估 和 管理 手段 。 

我 们 相信 ， 每 个 驱动 因素 可 以 单独 激发 (引入 ) MBD， 但 它们 的 组 合 提供 
了 更 强大 的 驱动 因素 来 引入 MBD。 也 有 其 他 因素 影响 引入 MBD 方法 。 这 些 因素 
的 总 结 放 在 10. 6 节 介 绍 。 一 定 成 熟 度 的 产品 技术 、 工 具 、 竞 争 力 以 及 在 MBD 方 
法 之 前 必须 建立 的 方法 ， 可 以 成 功 地 采用 。 

对 于 汽车 做 入 式 系 统 ， 虽 然 驱动 因素 在 汽车 坐 入 式 系统 领域 中 可 能 发 生变 
化 ， 但 我 们 发 现 驱动 因素 一 般 都 很 强 。 鉴 于 这 种 情况 ，MBD 的 方法 可 以 提供 更 
有 效 的 流程 ， 以 减少 开发 时 间 和 /或 开发 的 成 本 。MBD 方法 也 可 用 于 瞄准 更 大 的 
研发 工作 : 更 大 程度 上 的 验证 和 优化 ， 生 产 质 量 改进 的 和 具有 “正确 ”功能 的 
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产品 。 这 些 潜 在 的 好 处 ， 将 在 下 面 的 章节 中 进一步 阐述 。 
10.2.4 MBD 方法 的 潜在 好 处 


在 这 里 ， 我 们 假设 已 经 由 一 个 组 织 仔细 介绍 了 MBD 的 方法 。 因 此 我 们 假设 
引入 MBD 方法 的 驱动 因素 非常 强 。 如 果 驱 动因 素 弱 ， 或 如 果 不 进行 正确 的 方式 
采用 MBD 技术 ,那么 这 些 好 处 不 能 指望 。 驱 动因 素 和 成 熟 MBD 工具 可 用 性 或 已 
建立 方法 之 间 的 不 匹配 ， 可 以 解释 引入 MBD 方法 时 的 一 些 问题 ! 呈 ] 。 鉴 于 这 些 
先决 条 件 ，MBD 可 以 提供 以 下 好 处 [27 48 50 .54 .58 .63 .66.69 .78 .82 .85] , 

e 投入 市 场所 需 的 时 间 。 提 高 生产 率 可 以 通过 直接 和 间接 的 方式 来 实现 ， 
其 中 一 个 关键 因素 就 是 提供 更 高 效 的 决策 。 一 个 直接 效果 的 实现 ， 就 是 通过 采用 
并 行 工程 和 在 完整 产品 完工 之 前 的 设计 概念 〈 例 如 控制 、 软 件 或 便 件 ) 的 评估 。 
通过 自动 的 研发 步骤 ， 尤 其 是 那些 烦琐 、 容 易 出 错 而 且 消 耗 大 量 的 努力 一 一 以 测 
试 、 分 析 和 模型 的 操纵 /转换 活动 为 代表 ， 也 可 以 取得 直接 的 效果 。 间 接 效果 是 
通过 改进 记录 以 及 开发 人 员 / 利 益 相 关 者 之 间 的 交流 来 实现 一 一 意味 着 工作 本 身 
可 以 成 为 更 有 效率 〈 例 如 ， 一 致 信息 的 更 快速 度 检索 ) 和 更 有 效果 (例如 ， 增 
加 所 涉及 的 利益 相关 者 的 相互 了 解 ) 。 另 一 个 改进 是 通过 早期 的 错误 检测 和 质量 
反馈 、 特 别 是 支持 通过 模型 分 析 和 早期 的 基于 模型 的 集成 努力 来 取得 。 这 种 努力 
使 得 研发 中 的 迭代 次 数 以 及 生产 中 、 生 产后 的 问题 最 小 化 。 因 此 ,与 非 MBD 方 
法 相 比 ,一 个 成 熟 的 MBD 方法 可 以 期 待 减少 开发 时 间 。 男 一 方面 ， 更 快 的 迭代 
意味 着 廉 得 的 时 间 (例如 ) 可 以 用 于 提高 系统 的 质量 或 包括 更 多 的 功能 方面 。 

。 减少 各 类 费用 。 通 过 计算 机 辅助 优化 ，MBD 可 以 有 助 于 降低 生产 成 本 ， 
它 是 通过 更 具 成 本 效益 的 解决 方案 的 选择 来 实现 的 。MBD 还 可 以 提高 产品 的 质 
量 ， 从 而 降低 了 维护 成 本 。 汽 车 移入 式 系统 的 开发 成 本 正在 增加 。 使 用 合适 的 工 
Hn 
3 
































可 以 帮助 开发 人 员 更 好 地 管理 日 益 增 加 的 复杂 性 ， 从 而 使 得 研发 更 具 成 本 
效益 。 

。 质量 保证 和 质量 增强 。 正 如 上 面 所 提 到 的 ， 自 动 化 可 以 减少 故障 的 发 生 。 
通过 改善 对 设计 中 系统 的 理解 ， 使 用 模型 也 有 间接 的 效果 一 一 从 而 使 质量 保证 工 
作 更 有 效 。 用 模型 形式 化 系统 的 工作 也 可 以 简单 地 提供 便利 : 通过 改进 设计 中 系 
统 的 理解 并 作为 一 种 对 系统 的 审查 。 然 后 可 以 进一步 取得 增强 验证 : 通过 基于 模 
型 的 系统 分 析 和 测试 ， 帮 助 确保 所 需 的 系统 质量 ， 并 在 相互 冲突 的 质量 中 取得 平 
衡 。 基 于 模型 的 方法 在 某 些 安全 关键 系统 中 可 能 是 强制 性 的 ， 它 为 安全 论证 提供 
了 一 个 良好 平台 。 也 可 以 使 用 基于 模型 的 方法 优化 系统 质量 。 一 些 调查 指出 这 样 
的 事实 : 复杂 系统 设计 中 的 主要 问题 是 需求 工程 。 这 里 MBD 可 以 协助 需求 更 易 
于 管理 、 交 流 和 分 析 。 

。 功能 内 容 增加 。 提 供 更 多 的 功能 来 应 对 复杂 性 (通常 涉及 更 多 的 利益 相 
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关 者 、 关 注 ) 、 和 相应 的 信息 、 分 析 、 折 中 的 增加 。 这 些 问 题 正 是 MBD 要 解决 
的 目标 ， 从 而 为 它们 提供 支持 。 

。 创新 性 。 有 经 验 迹象 表明 : MBD 的 方法 也 可 以 支持 企业 的 创新 ， 就 是 生 
产 新 产品 、 功 能 和 /或 解决 方案 的 能 力 [257] 。 据 了 解 ， 根 据 CAD 系统 早期 经 验 : 
适当 的 CAE 工具 可 以 支持 开发 者 的 创造 力 ， 有 利于 他 们 的 探索 和 概念 与 解决 方 
案 的 评估 。MBD 工具 (例如 通过 仿真 和 快速 成 型 ) tH RAAT E 
证 和 确认 (V&V)。 实 证 研究 结果 也 支持 正确 使 用 MBD 也 可 以 帮助 促进 多 学 科 
团队 之 间 的 交流 的 观点 391。 理想 情况 下 ， 一 个 系统 级 的 信息 /知识 管理 系统 应 
该 支持 存储 、 检 索 、 思 路 和 解决 方案 的 匹配 ， 从 而 提高 创新 能 

建 模 需 要 额外 的 努力 ， 以 初步 建立 模型 ， 除 非 它们 已 经 被 创建 ， 并 且 可 以 重 
复 使 用 ， 但 此 后 可 能 产生 与 整个 开发 过 程 有 关 的 时 间 与 成 本 节约 的 二 次 效应 。 为 
了 这 些 目 的 ， 必 须 分 配 资源 和 时 间 。 对 于 以 前 一 直 没 有 采用 MBD 的 企业 ,改善 
流程 效率 (开发 时 间 和 /或 成 本 ) 可 能 会 发 生 ， 但 不 能 指望 在 第 一 个 项 目 上 
出 现 。 

为 了 评估 MBD 的 优点 ， 与 工程 中 常见 的 替代 方案 进行 比较 也 是 有 用 
HJA] ， 其 中 替代 方案 包括 “社会 设计 ”和 “利用 纸 质 文件 设计 ”。 当 MBD 
采取 明确 的 和 计算 机 化 的 模型 时 ， 社 会 设计 依赖 社会 隐 性 知识 、 社 交 网 络 、 熟 练 
的 和 常 驻 人 员 ， 以 及 使 用 物理 样机 和 测试 。 基 于 文档 的 方法 介 于 社会 设计 和 
MBD 之 间 。 也 可 以 采用 模型 ， 但 不 是 那 种 适用 于 计算 机 操作 的 模型 。 信 息 的 粒 
度 可 以 被 认为 是 粗 粒 度 的 ， 在 于 文档 提供 了 信息 所 提供 的 粒度 。MBD 强调 使 用 
正式 的 和 计算 机 化 的 模型 作为 中 心思 想 的 载体 。 信 息 粒 度 可 以 是 粗 粒 度 或 细 粒 
度 ， 细 粒度 实体 对 应 设计 工件 ， 如 个 别 规定 或 软件 实体 。 改 进 后 的 文档 减少 了 对 
个 体 的 依赖 关系 [301 。 

在 一 个 典型 的 和 传统 的 能 入 式 系统 的 开发 方案 中 ， 使 用 文本 文档 ， 编 写 和 编 
译 C 代码 到 微 控制 器 中 。 这 种 做 法 虽然 对 于 一 个 简单 的 系统 可 能 足够 了 ， 但 是 
随 着 复杂 性 的 增加 ， 局 限 性 也 是 相当 明显 的 。 因 此 ， 针 对 这 种 方法 的 工作 ， 复 杂 
性 需要 以 另 一 种 方式 来 处 理 ， 例 如 ， 通 过 使 用 一 个 约束 的 体系 结构 ， 限 制 太 复杂 
功能 的 引入 。MBD 方法 在 模型 提供 的 文档 中 处 理 这 个 复杂 性 ， 使 用 工具 支持 分 
析 和 和 集成， 在 抽象 中 通过 隐藏 的 详细 分 析 来 维护 全 貌 。 

合适 的 产品 架构 构成 了 主要 成 分 ， 而 不 管 哪 一 种 做 法 。 现 有 的 汽车 架构 一 直 
是 基于 硬件 级 别 的 模块 化 ， 并 在 网 络 层面 采用 接口 。 这 样 一 个 计划 在 很 长 一 段 时 
间 内 已 经 证 明 是 令 人 满意 的 ， 但 不 能 妥善 处 理 日 益 增加 的 、 电 子 控制 单元 
(ECU) 依赖 的 交叉 性 ， 同 时 也 不 能 为 包含 软件 和 硬件 的 产品 线 提供 基础 。 目 
前 ， 软 件 架构 在 汽车 开放 系统 架构 (AUTOSAR) 举措 中 是 强调 的 ， 并 提供 软件 
架构 以 及 用 来 描述 和 配置 软件 /硬件 组 件 的 方法 B11。 这 种 基于 组 件 的 软件 方 
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法 前 进 了 一 步 ， 但 仍然 不 够 ， 因 为 功能 与 非 功能 性 的 质量 、 系 统 内容 并 不 在 建 模 
工作 范围 之 内 1174081] 

因此 ,一 个 组 织 有 在 这 三 种 方法 之 间 做 出 选择 的 可 能 性 。 一 旦 做 出 决定 选择 
MBD 方法 ， 那 么 就 存在 一 个 战略 需要 一 一 就 是 如 何 从 现 有 的 、 目 前 占 主导 的 方 
法 迁移 到 MBD 方法 上 。 在 实践 中 ， 也 有 关于 如 何 使 方法 并 存 的 战略 需要 。 提 到 
MBD 的 优点 不 容易 ， 它 们 确实 需要 努力 、 战 略 选择 、 语 境 需 求 的 理解 。 这 些 语 
噶 需 求 是 下 一 节 的 话题 。 


10.3 背景、 关注 和 要 求 


上 述 章 节 概 述 了 MBD 的 主要 优点 、MBD 的 驱动 因素 及 MBD 如 何 支 持 研发 
活动 。 讨 论 指 出 需要 提供 对 MBD 更 广阔 的 语 境 洞察 力 。 特 定 MBD 方法 的 适用 性 
与 效率 (包括 所 采用 的 方法 和 技术 ) 将 取决 于 方法 使 用 的 特定 语 境 、 目 的 、 引 
入 MBD 方法 所 处 理 的 关注 点 以 及 产品 、 组 织 和 流程 所 施加 的 相应 需求 。 这 些 内 
容 将 在 本 节 讨 论 。 


10.3.1 Xİ MBD 的 语 境 要 求 


作为 一 个 复杂 的 骨 入 式 系统 的 工程 方法 ，MBD 需要 考虑 采取 工程 的 各 种 基 
本 方面 。 图 10. 1 突出 显示 了 MBD 技术 可 能 有 与 商业 、 组 织 、 技 术 和 工程 流程 方 
面 有 关 的 依赖 性 。 

与 MBD 技术 和 方法 相对 的 ， 这 些 工 程 方面 之 间 的 协调 是 重要 的 ， 并 强烈 影 
响 MBD 方法 的 可 用 性 。MBD 的 技术 和 方法 可 以 集中 在 一 个 或 多 个 特定 的 环境 或 
足够 灵活 、 可 以 调整 以 适应 一 个 特定 的 工程 条 件 。 一 个 MBD 方法 可 以 直接 面向 
产品 、 流 程 或 组 织 方面 ， 例 如 ， 用 结构 、 活 动 、 资 源 、 人 、 目 标 和 企业 约束 表示 
的 企业 模型 。 每 个 领域 传统 上 由 专门 的 工具 来 处 理 ， 如 企业 资源 规划 和 产品 数据 
管理 。 而 本 章 的 重点 在 汽车 艇 和 人 式 系统 的 MBD 上 面 ， 其 他 部 门 采用 MBD 是 一 个 
自然 和 重要 的 补充 ， 使 得 流程 部 分 实现 自动 化 ， 从 而 接近 模型 驱动 研发 、 研 发 与 
产品 生命 周期 的 其 他 部 分 集成 得 到 的 概念 。 

现在 对 图 10. 1 所 示 的 要 求 进行 简单 说 明 ， 并 在 10.3.2 节 和 10.6 节 中 继续 
讨论 。 

10.3.1.1 技术 施加 的 要 求 

相关 技术 要 求 包括 那些 使 用 产品 中 施加 的 以 及 工具 中 使 用 技术 的 要 求 。 每 个 
产品 的 特点 是 由 特定 的 属性 和 需要 由 MBD 中 的 模型 与 工具 代表 的 现象 。 反 之 亦 
然 ，MBD 技术 将 对 模拟 和 分 析 的 对 象 施加 约束 。 汽 车 领域 多 样 化 功能 和 技术 对 
要 表示 的 各 种 行为 、 属 性 和 结构 显示 出 特殊 要 求 。 例 如 ， 考 虑 车 辆 动力 学 控制 的 
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技术 背景 
。 标准， 领域 知识 
。 产 品 特 性 (比如 ， RR 特性 、 
行为 、 环 境 和 使 用 条 件 ) 
， 设 计 和 V&V 技术 
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图 10.1 MBD 与 工程 背景 之 间 的 依赖 关系 ， 用 双向 箭头 表示 与 MBD 背景 有 关 的 、 
对 MBD 方法 的 要 求 或 MBD 方法 施加 的 约束 








功能 ， 需 要 某 种 形式 的 混合 动力 系统 的 形式 化 。 为 了 描述 零件 /功能 (版 本 )、 
独特 的 产品 配置 (变异 体 ) 以 及 建立 有 效 配 置 的 规则 ， 产 品 配置 和 产品 系列 的 
概念 需要 明确 的 支持 。 

10. 3.1.2 从 技术 流程 来 看 要 求 

一 个 技术 流程 包括 了 : 对 有 目的 功能 和 质量 进行 决策 的 活动 、 平 台 的 选择 、 
功能 映射 到 解决 方案 、 详 细 设计 和 V&V。 般 入 式 系统 的 MBD 需要 支持 为 了 V&V 
的 目的 分 析 ， 支持 为 了 设计 空 间 探 索 和 折 中 分 析 ， 其 中 设计 中 的 折 中 是 由 于 质量 
属性 冲突 (有 着 共同 的 设计 参数 )。 技 术 流程 在 很 大 程度 上 规定 了 所 需 的 建 模 、 
分 析 和 V&V 的 支持 ,包括 文档 、 管 理 、 信 息 交 流 的 要 求 。 如 果 可 重复 使 用 文档 、 
分 析 和 综合 工作 ， 那 么 这 显然 是 有 益 的 。 在 一 般 情况 下 ， 每 一 个 研发 者 或 利益 相 
关 者 都 需要 符 开 发 产品 的 专门 信息 示 为 一 个 或 多 个 特定 的 模型 或 视角 。 软 
件 和 硬件 特征 上 的 差异 受到 关注 。 软 件 开 发 的 特点 是 快速 发 布 和 迭代 ， 而 (E 
件 ) 电子 和 机 械 部 件 的 研发 时 间 较 长 。 这 使 得 系统 集成 面临 一 种 特殊 的 挑战 ， 
必须 协调 不 同 研 发 团队 发 布 的 (系统 )。 正 如 前 面 提 到 的 ,使 用 的 MBD 的 方法 
有 潜在 的 优势 一 一 通过 使 用 系统 模型 、 使 早期 和 频繁 的 技术 集成 得 以 实现 ， 从 而 
改善 这 种 情况 。 
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10.3.1.3 从 管理 流程 视角 来 看 要 求 

控制 产品 的 复杂 性 的 一 种 常见 方法 是 通过 信息 化 管理 的 支持 、 实 施 抽象 和 分 
离 关 注 点 原则 。 这 反 过 来 又 需要 适当 的 信息 结构 化 来 叙述 各 种 工程 关注 点 一 一 如 
功能 、 实 施 和 它们 的 关系 。 信 息 管理 过 程 可 以 且 应 该 作为 一 个 针对 要 进行 的 技术 
过 程 有 利 的 流程 。 基 于 模型 的 信息 管理 ， 允 许 对 研发 过 程 中 的 交流 、 记 录 、 分 析 
和 产品 综合 提供 支持 。 比 如 ， 假 设 系 统 设计 者 要 增加 一 个 新 的 功能 到 般 入 式 系统 
中 。 为 了 评 佑 这 个 功能 ， 可 以 在 何 处 以 及 如 何 部 署 ( 哪 一 个 ECU， 新 的 ECU, 
传感器 的 使 用 等 ) ， 需 要 很 多 详细 信息 。 始 终 在 正确 的 时 间 提 供 这 些 信 息 给 机 构 
中 多 种 多 样 的 用 户 是 管理 流程 的 角色 。 汽 车 谍 入 式 系统 的 信息 管理 往往 必须 支持 
地 理 上 分 布 的 和 并 行 研发 。 然 后 ， 变 成 重要 的 是 一 个 整体 系统 定义 适用 于 工作 规 
划 、 变 更 和 版 本 控制 的 目的 。 模 型 的 复 用 和 共享 需要 工具 的 兼容 性 信息 、 标 准 化 
的 交换 格式 ， 并 当 模 型 在 机 构 之 间 交 换 时 提供 对 知识 产权 CIP) 的 支持 。 一 个 
核心 问题 是 如 何 确保 宛 余 信 息 的 一 致 性 ， 并 管理 模型 之 间 的 信息 依赖 性 和 可 追 
WATE. 

10. 3.1.4 从 机 构 视角 来 看 要 求 

用 户 和 组 织 已 经 建立 起 有 关 术 语 、 工 作 程序 和 建 模 系统 方法 的 传统 。 引 入 一 
个 MBD 方法 时 ， 必 须 考虑 预期 、 传 统 的 角色 和 工作 程序 。 

10.3.1.5 从 商业 背景 来 看 要 求 

商业 背景 涉及 客户 需求 、 竞 争 、 立 法 和 市 场 趋势 。 比 如 ， 一 个 有 竞争 力 的 情 
形 对 应 于 MBD 的 次 要 驱动 因素 ， 需 要 更 高 效 和 有 效 的 研发 流程 。 


10.3.2 MBD 工作 解决 的 产品 关注 点 


汽车 舱 入 式 系统 的 研发 涉及 众多 的 关注 : 从 需求 到 实现 、 不 同 的 功能 、 方 
面 /品质 和 ( 子 ) AS. BLE, 已 经 研发 的 这 么 多 的 建 模 语言 和 工具 反映 了 这 
样 一 种 情况 ， 就 是 舱 入 式 系统 的 设计 需要 很 多 的 专家 ， 他 们 各 自 具有 不 同 的 观 
点 ， 并 要 求 具体 信息 以 解决 他 们 的 任务 。 

由 于 模型 永远 不 能 成 为 一 个 真正 系统 的 完整 的 复制 ， 重 要 的 是 要 对 手头 的 关 
注 产 品 有 一 个 清醒 的 认识 ， 以 确定 哪些 信息 应 详细 、 什 么 可 以 进行 抽象 。 不 同 的 
模型 将 涉及 不 同 的 关注 点 ， 从 而 有 不 同 的 重点 ， 并 导致 选择 不 同 的 建 模 方法 。 通 
常 一 个 特定 的 MBD 方法 和 技术 将 以 特定 的 产品 范围 和 考虑 的 问题 进行 研究 ， 并 
瞄准 以 下 内 容 : 

。 目标 。 目 标 对 经 常 对 应 于 建 模 中 的 主要 焦点 定 界 ， 例 如 ， 产 品 的 一 个 子 
集 或 产品 部 分 或 方面 的 集成 。 集 成 这 里 主要 是 指 模型 和 工具 的 集成 ， 其 目的 是 为 
TAR (FM) 产品 集成 。 

。 设计 阶段 。 设 计 阶段 与 不 同 的 抽象 层次 的 建 模 概 念 密切 相关 。 在 建立 早 
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期 的 架构 概念 模型 时 ， 一 个 子 系统 或 一 个 详细 的 组 件 设 计 对 建 模 提 出 了 不 同 的 要 
求 。 如 果 一 个 V 流程 用 于 开发 ， 那 么 它 的 轴线 大 致 等 同 于 时 间 维 度 ， 但 是 时 间 
维度 的 一 个 特定 因素 在 于 早期 阶段 的 建 模 必须 处 理 比 后 阶段 更 大 的 不 确定 性 。 连 
续 设 计 流程 的 特征 在 于 : 通过 从 抽象 到 具体 的 系统 描述 ， 其 中 精确 度 越 高 ， 变 化 
较 大 的 不 确定 性 和 灵活 性 降低 。 

。 品质 或 属性 。 不 同系 统 的 品质 可 能 是 重点 ， 比 如 安全 性 或 性 能 。 这 些 品 
质 需 要 被 定义 为 引导 可 行 的 解决 方案 的 要 求 或 限制 。 品 质 也 被 分 解 成 精细 的 要 
求 。 非 功能 性 需求 通常 精细 成 功能 要 求 ; 一 个 例子 是 安全 要 求 通常 转化 为 错误 检 
测 和 错误 处 理 的 功能 要 求 。 许 多 属性 代表 交叉 关注 问题 (不 是 只 停留 在 功能 和 
模块 上 ) ， 它 们 包括 成 本 、 重 量 、 温 度 和 电磁 辐射 。 因 此 ， 有 处 理 冲 突 品 质 之 间 
的 平衡 的 需要 。 

。 设计 参数 。 设 计 参 数 是 指 设计 师 使 用 它 来 塑造 设计 的 参数 。 参 数 都 与 
“系统 结构 化 ”一 一 例如 确定 实体 的 数量 和 类 型 以 及 它们 的 连接 、“ 系 统 的 行 
为 ”一 一 采用 不 同 的 计算 和 交流 模型 (MOCS) 或 “行为 和 结构 之 间 的 映射 ”有 
关 。 对 于 嵌入 式 系统 ， 主 要 设计 参数 包括 行为 映射 到 解决 方案 结构 的 策略 、 执 行 
(触发 、 同 步 和 调度 ) 、 交 流 和 错误 处 理 ( 见 参 考 文献 [37、80] ) 。 

当 采 用 MBD 方法 时 ， 有 必要 定义 哪些 问题 是 由 MBD 解决 的 。 不 同 的 关注 点 
提供 了 一 个 多 维 空间 ， 它 们 与 不 同 的 科学 /工程 学 科 和 利益 相关 者 紧密 相连 。 表 
10. 2 给 出 了 利益 相关 者 和 他 们 的 产品 关注 的 案例 。 利 益 相 关 方 关注 的 特点 可 以 

表 10.2 有 关 利 益 相 关 者 、 他 们 的 角色 与 关注 点 及 模型 使 用 的 说 明 


















































































































































利益 相关 者 /角色 关注 点 分 析 / 综 合 模型 特征 
电器 工程 师 / 硬 件 架 构 ECU 界面 和 EMC 电 负荷 与 测试 逻辑 性 、 连 续 性 和 FEM 
软件 工程 师 (车 身 领域 ) 功能 的 逻辑 学 行为 模拟 离散 事件 
随机 性 与 逻辑 性 
质量 工程 呈 可 靠 性 寿命 时 间 预 测 与 FMFA wk 
(比如 ， 失 效 分 析 ) 
HARTE ECU 封装 、 几 何 形状 和 安装 电缆 长 度 与 几何 校正 “| 2 维和 3 维 力学 模型 
成 本 控 币 产品 成 本 必 益 与 灵敏 度 分 析 | 经 济 性 和 明显 不 确定 性 
oe waceencsptesteige | 测试 ! 测试 自动 化 与 “| 离散 事件 (测试 案 例 ) 和 
NE! my ME SE Vit P 
= aa me 测试 文件 生成 逻辑 结构 ( 比如 ， 设 置 ) 
安全 工程 师 系统 安全 性 FTA 与 FMFA 逻辑 、 离 散 事件 和 随机 性 
| 行为 模拟 、 鲁 棒 性 分 析 和 | 连续 时 间 、 离 散 时 间 和 
控制 系统 工程 师 PERE SEE, dha 机 
控制 器 综合 离散 事件 
热 分 析 温度 热传导 FEM ， 等 等 
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使 用 视点 和 视图 来 表示 。 根 据 文献 [32] ， 从 一 组 相关 关注 点 角度 ， 这 一 视图 构 
成 了 一 个 整体 系统 的 代表 。 视 图 可 以 包括 一 个 或 多 个 (架构) 模型 ， 一 个 模型 
可 以 参与 多 个 视图 。 提 出 了 许多 视图 建 模 框架 的 建议 〈 见 参考 文献 [48、77] ) 。 
必须 理解 在 各 自 框 架 目 标 背 景 中 所 描述 的 视图 。 由 于 开发 背景 不 同 ， 由 此 可 以 推 
Wr, MBD 技术 的 重要 性 质 之 一 是 找到 一 个 解决 方案 ， 它 提供 了 所 需 的 视图 或 更 
优选 的 是 ， 人 允许 定义 所 需 的 视图 给 出 一 个 更 灵活 的 MBD 环境 。 开 发 人 员 需 要 能 
够 更 有 效 解决 不 同 的 关注 ， 但 也 需要 整合 各 种 模型 和 工具 ， 因 为 它们 是 用 来 描述 
一 个 系统 和 同一 个 系统 的 各 方面 。 因 而 模型 之 间 的 信息 重合 和 其 他 依赖 性 是 不 可 
避免 的 。 解 决 这 种 类 型 的 集成 和 信息 管理 变 得 越 来 越 重要 ， 因 为 MBD 的 方法 正 
在 研发 机 构 内 传播 ! 11 .22 ,23 34 42 48 ] o 

不 同 的 关注 点 也 提供 了 一 个 方法 来 描述 或 剖析 不 同 建 模 方 法 21 ， 并 解释 为 
什么 针对 经 典 的 汽车 领域 存在 不 同 的 解决 方案 ， 这 是 因为 每 个 域 的 特点 有 不 同 的 
品质 / 感 兴趣 的 属性 ， 例 如 ， 主 动 安全 系统 安全 性 和 实时 性 与 车 身 电子 逻辑 功能 。 
在 某 些 领域 中 ， 行 为 主要 是 离散 的 ; 而 在 其 他 域 中 ， 行 为 是 连续 的 ， 因 而 导致 强 
调 不 同类 型 的 行为 描述 。 






































10.4 MBD 技术 


本 节 对 MBD 技术 进行 概述 ， 内 容 包括 : 

。 建 模 技术 ， 包 括 语言 、 模 型 、 模 型 之 间 的 关系 以 及 不 同 语言 之 间 的 关系 。 

。 分 析 技 术 ， 例 如 ， 对 于 模型 的 仿真 和 静态 分 析 的 技术 。 

。 综合 技术 ， 包 括 新 一 代 模 型 和 其 他 支持 信息 。 

o 建 模 技术 ， 实 施 具体 的 建 模 、 分 析 和 综合 技术 ， 以 及 对 设计 的 支持 ， 例 
如 ， 模 型 编辑 、 仿 真 和 结果 可 视 化 、 模 型 管理 、 设 计 自 动 化 、 工 具 / 模 型 的 互 操 
作 性 。 

图 10. 2 介绍 了 MBD 技术 的 核心 部 分 。 

建 模 、 分 析 和 综合 技术 用 实施 工具 来 显现 。 开 发 活动 (如 分 析 ) 和 利益 的 
关注 (如 可 靠 性 ) 对 建 模 技术 (语言 和 复 用 现 有 的 模型 ) 和 分 析 / 综 合 技术 施加 
规定 。 例 如 ， 为 了 支持 基于 模型 的 早期 架构 设计 ， 可 以 描述 系统 的 功能 、 预 期 的 
行为 和 解决 方案 的 一 个 高 层次 的 抽象 模型 是 必要 的 。 同 样 ， 在 此 阶段 的 分 析 可 集 
中 于 粗略 成 本 估计 、 系 统 的 性 能 、 电 缆 长 度 和 其 他 相关 指标 上 。 在 后 期 设计 阶 
段 ， 软 件 的 详细 结构 的 和 结果 的 详细 分 析 ， 比 如 那些 由 量化 、 终 端 至 终端 延迟 所 
引起 的 效果 ， 都 可 能 有 意义 。 对 综合 能 力 的 要 求 也 会 有 所 不 同 。 在 快速 控制 成 型 
中 ， 比 如 代码 通常 不 要 求 进行 优化 ， 而 对 于 产品 代码 生成 、 优 化 内 存 、 速 度 和 精 
度 来 说 ， 代 码 可 能 是 一 个 重要 问题 。 此 外 ， 技 术 分 析 在 信息 内 容 方面 对 模型 施加 
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要 求 。MBD 的 方法 通常 需要 大 量 的 工具 来 处 理 不 同 的 方面 ， 因 此 对 这 些 工 具 之 
间 的 互 操作 性 提出 要 求 。 






定义 所 需 的 抽象 、 
关系 和 间隔 尺寸 


定义 属性 的 
类 型 和 精度 


实施 


界面 
可 提供 的 需求 的 
信息 









分 析 与 综合 
技术 






图 10.2 MBD 通过 建 模 、 分 析 、 综 合 和 建 模 工具 技术 来 为 记录 、 交 流 、 分 析 与 综合 提供 支持 ， 
此 图 说 明 相关 技术 是 如 何 施加 关联 约束 、 如 何 相互 作用 的 

















10.4.1 建 模 语言 ， 抽象、 关系 和 行为 


以 下 讨论 的 目的 是 提供 建 模 语言 特征 概述 ， 内 容 包 括 提供 的 经 典 抽 象 、 抽 象 
之 间 的 关系 、 模 型 之 间 的 关系 以 及 行为 模型 。 对 于 调查 和 不 同 建 模 语言 的 细节 ， 
读者 可 以 参考 文献 [4、21、53、69]。 反 映 各 种 广泛 的 舱 入 式 系 统 如 图 10.3 所 
AS, 今天 我 们 发 现 众多 的 编程 和 建 模 语言 在 符 入 式 系统 开发 中 使 用 。 

编程 语言 构成 了 一 种 特殊 的 建 模 语言 ， 它 们 侧重 于 构造 程序 方面 提供 详细 的 
系统 设计 支持 。 因 为 程序 是 实际 行为 的 一 个 抽象 ， 所 以 用 C 或 Java 编写 程序 ， 
例如 代表 一 个 模型 。 程 序 的 实际 执行 将 产生 时 序 行为 和 取决 于 硬件 平台 的 计算 精 
度 〈 且 也 依赖 于 编译 器 和 链接 库 ) 。 但 是 ， 妆 编程 语言 涉及 为 戏 入 式 系 统 表达 一 
些 感 兴趣 的 品质 和 属性 时 ， 它 只 能 提供 有 限 的 抽象 [21 。 
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图 10.3 研发 者 可 用 的 建 模 语言 的 说 明 
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采用 语法 和 语义 定义 建 模 和 编程 语言 ， 它 们 在 抽象 语法 、 具 体 的 语法 和 其 解 
释 上 可 以 展现 得 更 详细 [7?] 。 抽 象 语法 定义 概念 、 关 系 、 完 整 性 约束 以 及 语言 中 
的 模型 组 成 原则 ， 从 而 确定 所 有 可 以 建造 的 语法 正确 的 模型 。 具 体 语 法 定义 了 : 
可 视 化 的 形式 ， 图 形 、 文 字 ， 或 两 者 兼 而 有 之 。 诠 释 定 义 了 语言 实体 的 含义 和 所 
得 到 的 模型 ， 也 就 是 它们 的 语义 。 语 言 的 抽象 和 具体 语法 的 定义 有 时 也 被 称 为 它 
们 的 元 模型 。 元 一 元 模型 是 一 种 建 模 语言 ， 它 可 以 用 来 定义 不 同 元 模型 。 这 个 术 
语 被 对 象 管理 组 织 (OMG) 使 用 ， 见 参考 文献 [36] ， 并 由 元 对 象 设 施 (MOF ) 
的 定义 举例 验证 (OMG WH), mi UML2 的 定义 是 基于 MOF 的 。 

从 外 部 的 视角 来 看 ， 造 型 语言 可 以 从 关注 点 和 它们 打算 支持 的 开发 活动 的 特 
点 来 表示 。 这 些 不 同 的 目的 应 体现 在 建 模 语言 提供 的 抽象 、 属 性 和 相互 抽象 关系 
E. 抽象、 属性 和 关系 共同 定义 的 结构 和 行为 概念 ， 都 可 以 在 语言 中 捕获 到 。 下 
面 将 描述 在 租 入 式 系统 中 常见 类 型 的 建 模 语言 。 

10.4.1.1 抽象 类 型 

可 以 在 艇 入 式 系 统 建 模 语言 中 找到 许多 抽象 .FI。 典 型 的 抽象 包括 “ 功 
能 ” 代表 高 层次 规范 方面 系统 的 功能 或 逻辑 上 独立 于 任何 实现 技术 的 功能 ; 
“软件 平台 ”一 一 代表 硬件 单元 以 及 中 间 件 和 操作 系统 的 系统 解决 方案 ; “ 数 
据 ” 一 一 代表 信息 单元 (fas. tric, SH); “交流 ” 代表 机 制 以 及 针对 其 
他 抽象 之 间 的 信息 交流 的 物理 介质 ，“ 系 统 ” 代表 完整 的 系统 以 及 配置 属性 ; 
“一 般 的 抽象 ”"， 它 可 以 被 认为 是 任何 其 他 类 型 曾经 专用 的 或 取决 于 它们 的 使 用 背景 。 

10.4.1.2 抽象 属性 

抽象 属性 可 以 划分 成 结构 接口 、 行 为 的 语义 和 约束 。 结 构 接口 属性 处 理 抽象 
的 组 织 (抽象 的 概念 是 什么 ) 有 关 的 问题 ， 比 如 大 小 、 形 状 和 IZO。 结 构 接口 属 
性 涉及 一 个 抽象 与 其 他 抽象 的 交互 接口 。 与 行为 有 关 的 属性 定义 了 一 个 抽象 是 做 
什么 的 以 及 如 何 做 。 这 包括 要 定义 一 系列 问题 ， 如 触发 (事件 与 时 间 触 发 ， 自 
主 进行 ) 、 持 和 久 性 〈 创 建 /销毁 ) 、 定 时 〈 如 持续 时 间 ) 、 转 换 / 导 辑 以 及 存储 。 行 
为 也 可 以 被 约束 控制 。 另 一 个 方面 是 抽象 概念 的 非 期 望 行为 。 任 何 支 持 一 般 行 为 
描述 的 语言 可 以 使 用 同样 的 方法 来 描述 错误 行为 。 在 某 些 情况 下 ， 提 供 显 式 构造 
用 于 错误 描述 。 

由 建 模 语言 提供 的 时 间 、 数 据 和 空间 的 观点 体现 在 抽象 的 属性 ， 并 产生 不 同 
类 型 的 模型 ， 例 如 连续 或 离散 时 间 模 型 。 类 似 时 间 处 理 ， 数 据 可 能 有 连续 值 范围 
(或 近似 通过 浮 点 值 来 实现 ) 或 离散 化 。 肯 人 式 系统 中 离散 化 的 一 个 相关 例子 是 
量化 变量 , 例如， 由 于 传感器 、1/O 设备 、 计 算 或 通信 的 有 限 分 辩 率 。 时 间 和 数 
据 的 组 合 可 以 被 用 来 创建 静态 或 动态 的 模型 2 。 空 间 维 数 处 理 在 空间 中 变化 的 属 

































































”静态 模型 可 以 定义 为 不 涉及 时 间 ， 因 此 ， 与 时 间 无 关 也 就 是 输出 保持 不 变 ， 而 不 管 研究 的 时 间 ， 
假定 输入 不 变 。 
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性 ， 如 力学 张力 、 温 度 或 电磁 场 ， 相 应 的 属性 用 偏 微分 方程 来 描述 。 在 所 谓 的 集 
总 模型 中 ， 物 理 上 分 布 的 属性 被 集中 起 来 ， 并 近似 由 单一 变量 来 表示 ， 例 如 点 
质量 。 

第 三 种 抽象 属性 为 约束 ， 它 适用 于 结构 和 行为 的 属性 。 约 束 指 明确 定义 的 边 
界 值 、 允 许 / 不 允许 的 一 组 值 一 一 一 个 确定 的 属性 可 以 采用 的 、 但 不 需要 精确 规 
定 属性 实际 采用 的 值 。 

10.4.1.3 行为 描述 

不 同 MoC 的 实现 是 通过 连接 抽象 与 通信 、 同 步 关 系 来 实现 的 。 抽 象 的 行为 
属性 、 抽 象 关 系 以 及 与 它们 的 语义 定义 了 模型 的 行为 。 常 见 的 租 入 式 系统 的 
MoC 包括 : 

© 离散 时 间 模 型 (差分 方程 )。 往 往 是 通过 离散 舱 入 式 系统 中 控制 絮 实 施 / 
模拟 或 信号 处 理 算法 得 到 的 。 

o 连续 时 间 模 型 (微分 方程 )。 这 种 类 型 模型 的 目标 瞄准 般 入 式 系 统 环境 中 
的 物理 系统 的 动态 特性 。 

。 离散 事件 模型 (在 计算 机 软件 和 硬件 中 的 逻辑 和 实现 行为 ) 。 

© 多 任务 模型 ， 其 特征 由 触发 、 同 步 的 平台 抽象 以 及 调度 活动 来 表示 。 优 
先 权 和 持续 时 间 是 这 种 MoC 的 重要 特征 。 

多 年 来 已 经 开发 了 许多 基本 MoC 的 变异 体 ![3] 。 肯 人 式 系统 中 涉及 需要 共同 
进行 评估 的 几 种 类 型 的 MoC ， 例 如 ， 需 要 经 过 仿真 。 许 多 语言 和 工具 支持 知 干 
种 MoC 在 语言 中 的 定义 ， 例 如 ，Simulink 和 Modelical 3] 。 

10. 4.1.4 相互 抽象 关系 

下 面 总 结 几 种 类 型 抽象 之 间 的 关系 。 关 系 原 则 上 是 有 效 的 ， 无 论 抽 象 是 否 在 
同一 模型 /语言 中 描述 ,或 由 几 个 模型 /语言 描述 。 它 们 中 的 许多 定义 或 推断 模型 
之 间 的 依赖 关系 。 一 种 特殊 类 型 的 依赖 关系 出 现在 使 用 两 种 不 同 的 建 模 语言 / 工 
具 表 示 系 统 的 同一 部 位 。 至 于 属性 ， 约 束 通常 可 以 针对 关系 来 定义 一 一 限制 了 它 
们 的 应 用 方法 。 这 样 的 约束 ， 例 如 可 以 是 不 同 的 临界 水 平 的 应 用 程序 不 能 被 分 配 
给 相同 的 处 理 器 (或 任务 ) 。 

。 分 解 ， 指 的 是 允许 的 方式 组 合 抽象 以 形成 一 个 整体 ， 定 义 一 个 抽象 与 它 
包含 的 抽象 之 间 的 局 部 -整体 /层次 关系 。 局 部 -整体 关系 可 以 应 用 到 面向 行为 
的 和 面向 结构 的 抽象 中 。 在 任何 情况 下 ， 都 提供 从 外 部 访问 整体 部 分 的 方式 ， 而 
访问 这 个 整体 并 不 需要 可 以 通过 抽象 接口 。 这 种 机 制 与 信息 隐藏 和 模块 化 密切 相 
关 。 在 行为 分 解 中 ， 当 把 部 分 组 成 整体 时 ， 对 行为 的 影响 如 持久 性 控制 、 排 序 和 
触发 ， 也 必须 定义 。 

。 通信 ， 指 针对 信息 交换 或 物理 相互 作用 、 连 接 不 同 抽象 的 允许 方式 。 行 
为 语义 必须 为 这 样 的 连接 定义 ， 包括 协议 和 时 序 。 这 个 关系 与 下 面 的 (同步 ) 
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关系 密切 相关 。 

。 同步 ， 指 的 是 抽象 之 间 的 排序 和 时 序 关 系 。 抽 象 之 间 的 同步 常常 通过 通 
信 来 实现 ,但 其 他 技术 也 是 可 能 的 ， 其 中 包括 使 用 预 运行 调度 ， 以 确保 软件 任务 
之 间 的 同步 。 

。 共性 ， 指 的 是 抽象 之 间 的 共同 特点 。 共 性 可 以 通过 以 下 方式 取得 : 中 对 
可 以 定义 的 抽象 类 型 分 类 ， 根 据 定 义 的 抽象 类 型 ， 创 建 多 个 实例 ， 并 继承 共同 属 
VE; @ 共 同 的 配置 ， 其 中 的 模式 横 蜂 抽象 集合 不 断 地 重复 ; @ 专 业 化 /通用 化 ， 
其 中 一 种 类 型 的 抽象 是 基于 男 一 种 的 ， 连 同一 些 修 改 ， 因 此 共享 没有 被 修改 的 
属性 。 

e 细 化 ， 指 的 是 相同 实际 系统 实体 的 不 同 抽象 之 间 的 关系 。 例 如 ， 一 个 功 
能 通过 添加 原始 功能 中 不 存在 的 实施 细节 ， 来 细 化 另外 的 功能 。 术 语 细 化 可 以 不 
同 的 方式 使 用 ， 有 时 指 的 是 这 是 可 能 在 一 种 (相同 的 ) 语言 内 表达 的 ， 有 时 也 
包括 涉及 的 解决 方案 决策 和 更 详细 的 抽象 的 细 化 ， 因 而 使 得 细 化 模型 可 能 需要 用 
不 同 的 语言 表示 〈 指 手段 - 目的 细 化 ) 。 细 化 与 设计 流程 紧密 相连 ， 其 中 的 实施 
细节 是 依次 加 入 的 。 

。 分 配 ， 指 的 是 把 功能 或 软件 抽象 映射 到 平台 /硬件 抽象 上 。 它 是 一 种 抽象 
和 它们 的 硬件 抽象 的 空间 关系 ， 比 如 软件 与 硬件 之 间 的 关系 。 分 配 关 系 涉及 决定 
把 行为 映射 到 一 个 或 多 个 人 硬件 组 件 上 。 一 旦 已 经 决定 映射 ， 那么 相应 的 功能 / 软 
件 可 以 细 化 ， 并 考虑 映射 〈 这 是 细 化 和 分 配 之 间 的 差异 ) 。 分 配 的 一 个 特殊 情况 
就 是 复制 ， 例 如 一 个 软件 任务 分 配给 若干 个 处 理 器 ， 这 会 造成 元 余 的 解决 方案 。 

其 他 依赖 关系 是 指 抽象 之 间 的 关系 ， 其 中 一 个 抽象 影响 另 一 个 抽象 指 的 是 : 
一 个 抽象 的 属性 依赖 男 一 个 抽象 的 属性 ， 或 一 个 抽象 的 存在 依赖 其 他 抽象 的 存 
在 ,或 采用 假设 : 一 个 抽象 涉及 其 他 抽象 。 这 样 一 个 依赖 性 的 案例 是 一 个 控制 
器 ， 其 参数 依赖 于 一 个 特定 的 工厂 模型 。 


10.4.2 分析 技术 


采用 MBD 的 系统 分 析 依 赖 工具 支持 来 研究 一 个 模型 或 一 组 模型 的 静态 与 动 
态 性 能 。 静 态 分 析 的 案例 包括 检查 连接 模型 中 接口 /连接 件 的 兼容 性 /正确 性 和 检 
查 模型 的 完整 性 。 动 态 特 性 分 析 案 例 包括 系统 行为 的 模拟 和 计算 一 组 任务 〈 通 
常 这 个 特性 是 动态 的 ， 因 为 分 析 将 取决 于 任务 之 间 的 时 序 关 系 ) 的 啊 应 时 间 。 
给 定 最 坏 情况 假设 ,静态 分 析 在 某 些 特定 情况 下 也 是 可 以 的 。 

动态 系统 的 行为 分 析 ， 可 以 通过 仿真 或 通过 获得 解析 解 来 进行 。 仿 真 的 一 个 
众所周知 的 优势 是 它 很 少 有 限制 。 与 此 同时 ， 仿 真 方法 只 能 覆盖 有 限 的 测试 案 
例 ; 因此 决定 运行 哪些 测试 用 案例 也 成 为 一 个 重要 的 决定 。 从 这 个 角度 来 看 ， 提 
供 明 确 的 解决 方案 的 分 析 拉 术 是 优先 考虑 的 。 然 而 ， 这 种 解决 方案 对 复杂 的 藤 入 
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式 系 统 行为 可 用 性 小 。 作 为 一 个 替代 方法 ， 可 以 把 模拟 与 部 分 解析 解 和 搜索 技术 
相 结 合 。 搜 索 技术 与 部 分 解析 解 相 结 合 的 应 用 案例 可 以 在 分 配 和 调度 工作 中 找到 
( 见 参考 文献 [6 、64] ) 。 

通过 模拟 的 行为 分 析 在 实现 更 深入 的 了 解 并 研究 替代 方案 方面 是 很 有 价值 
的 。 增 量 细 化 的 可 能 性 ， 可 以 和 每 个 设计 步骤 的 随后 分 析 结 合 起 来 。 有 几 个 
MBD 工具 支持 这 种 方法 ， 且 由 租 入 式 控 制 系统 设计 工具 [该 工具 支持 功能 仿真 、 
在 环 仿真 软件 (其 中 的 全 部 或 部 分 功能 已 被 转换 成 代码 ) 、 快 速成 型 (其 中 模型 
对 物理 设备 实时 运行 来 验证 模型 ,或 对 真实 环境 测试 控制 器 ) 和 硬件 在 环 仿真 
(其 中 真实 物理 控制 器 对 车 辆 及 零 部 件 的 实时 仿真 测试 ) ] 能 很 好 地 说 明 ， 参 见 
参考 文献 【83 ] 。 仿 真 中 几 种 MoC 之 间 的 融合 值得 特别 关注 。 在 此 有 几 种 方法 ， 
例如 ， 通 过 使 用 MoC 中 的 一 种 给 其 他 可 能 被 简化 或 代替 的 MoCLsI 。 例 如 ， 在 模 
拟 中 经 常 通过 数值 积分 把 连续 时 间 模 型 简化 成 离散 时 间 模 型 。 一 种 补充 的 方法 就 
是 把 一 些 高 层次 的 MoC 转换 成 命令 式 程序 〈 例 如 C) ， 它 们 更 容易 整合 ， 且 在 模 
拟 需 上 更 容易 执行 。 在 某 些 情况 下 ， 可 能 需要 使 用 多 个 工具 的 仿真 (协调 仿 
FL), ， 使 用 不 同 的 MOC 每 一 个 仿真 实现 对 系统 模型 的 部 分 仿真 。 

其 入 式 系统 的 分 析 涵 盖 了 一 系列 感 兴趣 的 属性 和 特性 ， 它 们 可 以 在 不 同 层次 
上 进行 抽象 。 不 同 的 分 析 技 术 需 要 不 同 的 模型 内 容 用 于 捕捉 关注 点 。 仿 真 和 分 析 
技术 可 用 于 许多 类 型 的 行为 。 下 面 列 举 一 些 分 析 技 术 的 实例 。 

© 控制 功能 分 析 提 供 系 统 的 输入 输出 信息 以 及 内 部 行为 ， 并 使 得 能 够 评估 
性 能 和 稳定 性 。 使 用 捕捉 控制 占 以 及 控制 系统 动力 学 的 模型 ， 通 过 微分 或 差分 方 
程 进 行 分 析 。 这 种 类 型 分 析 通 常 作为 功能 设计 的 一 部 分 来 进行 。 有 关 控 制 融 执行 
效果 的 假设 可 以 纳入 到 分 析 中 ， 例 如 通过 包括 时 变 的 延迟 、 量 化 信号 和 瞬 态 错 
ie!) ESCH, 

。 逻辑 与 离散 事件 的 行为 分 析 可 用 于 评估 软件 和 硬件 的 行为 的 性 能 。 应 用 
范围 包括 仿真 、 形 式 验证 ， 例 如 检查 确定 的 行为 从 来 不 会 发 生 ， 以 及 等 效 性 检 
查 ， 以 确定 是 否 两 个 电路 或 程序 在 功能 上 等 同 。 形 式 化 的 证 据 和 模型 检查 的 案例 
是 : 它们 的 行为 属性 是 基于 离散 事件 行为 模型 自动 (半自动 ) 评估 的 [91 。 

。 时 效 性 与 性 能 的 分 析 提 供 了 有 关 使 用 计算 机 系统 资源 和 时 序 行为 的 信息 ， 
如 终端 到 终端 的 响应 时 间 。 分 析 需 要 这 样 的 模型 : 捕获 应 用 级 和 平台 级 的 性 能 ， 
例如 任务 触发 、 持 续 时 间 、 通 信 绥 冲 、 调 度 、 同 步 计 划 以 及 系统 活动 的 时 序 参 数 
和 计算 机 资源 (例如 ， 时 钟 周期 、 调 度 时 间 等 ) 。 

。 可 靠 性 分 析 提 供 了 有 关系 统 故 障 的 信息 。 它 采用 了 误差 模型 来 捕捉 逻辑 、 
时 间 和 硬件 的 错误 。 这 种 模型 通常 从 描述 名 义 系统 结 构 和 行为 的 模型 导出 i”] 。 

。 安全 性 分 析 提 供 有 关 组 件 / 系 统 失 效 后 果 的 信息 。 其 目的 在 于 识别 危险 、 
评 佑 风险， 并 支持 危害 控制 和 风险 缓解 。 分 析 需 要 误差 模型 来 捕获 失效 的 语义 和 
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环境 条 件 。 经 典 技 术 如 失效 模式 、 因 果 分 析 (FMEA) 、 故 障 树 分 析 (FTA) 在 
一 般 情 况 下 需要 描述 系统 的 逻辑 结构 ， 这 是 由 于 它们 专注 于 故障 事件 之 间 的 因果 
关系 。 分 析 也 可 以 采用 离散 事件 的 行为 模型 和 相应 的 分 析 技 术 ， 如 模型 检查 。 常 
见 的 是 首先 捕获 形式 描述 中 的 名 义 行 为 ， 然 后 增加 用 于 分 析 的 失效 行为 ( 即 在 
模型 中 注入 失效 ) 描述 ( 见 参考 文献 [44、67、86] ) 。 


10.4.3 合成 技术 


MBD 的 工具 提供 了 一 系列 的 合成 技术 ， 它 们 取决 于 特定 工具 的 范围 。 综 合 
支持 的 例子 当今 包括 模型 生成 〈 例 如 从 功能 模型 到 代码 生成 ) 、 系 统 定义 或 参数 
(例如 任务 优先 级 的 合成 ) 以 及 支撑 物品 ， 比 如 与 模型 有 关 的 记录 。 这 些 合成 的 
例子 可 能 包括 优化 和 许多 相关 的 模型 转换 ， 其 中 一 个 模型 被 转换 成 男 一 种 模型 ， 
后 者 可 能 用 不 同 的 建 模 语言 来 表达 。 男 一 种 情况 是 ， 文 档 产 生 于 模型 ， 这 被 称 为 
模型 到 文本 的 转换 。 转 换 所 涉及 的 技术 ， 可 以 分 为 陈述 性 的 和 以 规则 为 基础 的 、 
命令 式 的 ， 或 它们 的 组 合 〈 见 参考 文献 [18] ) 。 

模型 转换 的 一 个 目的 将 是 将 一 个 工具 的 模型 转换 成 其 他 工具 可 以 理解 的 模 
型 ， 提 供 工具 之 间 的 信息 交流 。 这 样 的 一 个 例子 是 把 设计 模型 信息 转换 成 分 析 工 
有 具 。 在 这 种 交换 中 ， 标 准 化 的 格式 〈 将 在 下 一 节 中 处 理 ) 发 挥 重 要 作用 。 

模型 转换 一 般 需 要 更 多 的 不 是 一 个 简单 的 、 从 一 个 实体 到 另 一 个 实体 的 映 
射 ， 这 是 因为 语言 可 能 是 完全 不 同 的 ， 且 因为 可 能 需要 更 改 原 始 模型 的 语义 。 例 
如 ， 一 个 设计 模型 转换 成 用 于 验证 目的 的 分 析 模 型 中 ， 可 能 需要 简化 和 改变 设计 
模型 ， 因 为 针对 分 析 技 术 它 可 能 过 于 复杂 而 不 能 处 理 。 另 一 个 例子 是 ， 带 有 资源 
制约 〈 比 如 有 限 的 性 能 和 内 存 ) 的 汽车 艇 人 式 系 统 的 代码 生成 。 这 些 制 约 因 素 
的 实际 影响 ， 就 是 原始 模型 的 行为 会 与 目标 处 理 咒 上 执行 的 生成 代码 得 到 的 行为 
有 所 不 同 。 模 型 的 转型 将 包括 做 出 一 些 决 定 和 人 处理 ,例如 性 能 和 代码 大 小 之 间 的 
折 中 [8 。 因 此 ， 转 换 可 以 自动 或 部 分 自动 ( 当 人 为 干预 、 需 要 定义 取舍 时 ) 
进行 。 









































10. 4.4 工具 


前 面 描述 的 MBD 技术 纳入 到 针对 具体 关注 点 和 活动 的 工具 中 。 对 MBD 工具 
的 中 心 要 求 ， 在 本 章 的 最 后 一 节 进 行 了 总 结 。 我 们 在 这 里 讨论 用 于 模型 管理 、 工 
具 的 互 操作 和 自动 化 、 标 准 化 格式 的 工具 支持 。 

10. 4.4.1 模型 管理 

工具 经 常 自 备用 于 存储 文件 /模型 的 库 。 对 于 信息 化 管理 ， 专 门 的 工具 存在 
两 个 主要 传统 。 软 件 开 发 采用 软件 配置 管理 (SCM) ， 而 硬件 〈 机 械 / 电 气 ) E 
程 使 用 PDM 工具 。 虽 然 由 这 些 解 决 方案 所 提供 的 大 多 数 支 持 普 遍 重 站 ， 但 在 细 
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节 上 也 有 变化 。 主 要 区 别 是 ，PDM 工具 在 更 大 的 程度 上 强调 整个 生命 周期 。 
SCM 历来 关注 支持 管理 软件 开发 过 程 中 实施 阶段 产生 的 大 量 源 文件 。 虽 然 SCM 
工具 支持 基于 文本 文件 的 版 本 管理 ,但 PDM 工具 管理 版 本 和 变异 ， 支 持 允许 细 
粒度 的 分 层 结构 数据 表示 的 信息 模型 的 定义 。 男 一 方面 ，SCM 工具 提供 合并 并 
行 开 发 的 软件 版 本 的 设施 [522%] 。 也 存在 特定 领域 的 信息 管理 工具 ， 例 如 针对 
需求 工程 ， 通 常 提 供 一 些 在 PDM 和 SCM 工具 中 发 现 的 功能 。 

10.4.4.2 ”工具 的 互 操作 和 自动 化 

针对 汽车 般 入 式 系统 的 MBD 通常 需要 各 种 工具 提供 不 同 的 功能 。 解 决 这 个 
问题 可 以 采用 工具 之 间 的 直接 信息 交换 和 /或 基于 通用 模型 管理 解决 方案 。 模 型 
转换 和 交换 格式 对 支持 这 个 问题 很 重要 。 工 具 的 互 操作 通过 工具 接口 和 平台 的 基 
础 设施 获得 支持 ， 比 如 组 件 对 象 模型 (COM) 和 公共 对 象 请 求 代理 体系 结构 
(CORBA) (95:99) ， 使 得 〈 部 分 的 ) 工具 应 用 程序 编程 接口 (API) 对 其 他 工具 开 
放 。 也 可 以 使 用 这 些 API 连同 脚本 功能 ， 一 起 支持 自动 化 设计 任务 。 在 支持 工具 
交互 和 模块 化 方面 的 趋势 之 一 就 是 对 模块 化 工具 的 支持 (例如 ， 以 Eclipse 环境 
HWEL”), 

10.4.4.3 数据 交换 格式 和 规范 

定义 工具 交换 标准 是 困难 的 ， 并 且 已 经 有 许多 尝试 和 努力 致力 于 试图 定义 合 
适 的 格式 。 今 天 存在 着 大 量 的 交换 格式 ， 它 们 来 自 于 不 同 的 组 织 ， 如 OMG, 
W3C!17) Isot] | ASAM!%! ， 这 些 交 换 格式 用 于 不 同 的 目的 。 在 一 般 情况 下 ， 
这 些 标准 定义 一 种 传输 格式 ， 它 允许 工具 采用 不 同 的 内 部 存储 解决 方案 和 格式 进 
行 信息 交换 。 一 个 交换 的 发 生 是 通过 内 部 工具 信息 被 转换 的 文件 和 根据 文件 传输 
的 格式 。 对 于 信息 传输 ， 有 必要 定义 交换 格式 和 文件 的 内 容 。 在 许多 情况 下 ， 也 
可 以 在 标准 中 定义 API。 

定义 信息 内 容 的 语言 案例 包括 ISO 10303 - 11EXPRESS (STEP 标准 的 一 部 
分 ) 0) 和 文档 类 型 定义 (DTD) 和 可 扩展 标记 语言 (XML)S 计 划 ， 这 两 个 标准 
HPF W3C 提出 。 交 换 格式 的 例子 包括 STEP 和 XML 一 部 分 的 各 种 ISO 标准 。 
XML 元 数据 交换 (XMI) [481 是 一 种 OMG 标准 (SEF XML) 。 它 可 用 来 交换 任何 
元 数据 ， 其 元 模型 与 MOF JER, XMI 最 常见 的 用 途 是 作为 UML 模型 的 交换 格 
式 ， 虽 然 它 也 可 以 用 于 其 他 语言 的 序列 化 模型 。 对 于 UML 图 ， 图 交换 标准 则 在 
支持 图 形 信息 交换 。 不 幸 的 是 ， 当 代 的 工具 很 少 实施 这 个 标准 ， 这 意味 着 针对 
UML 模型 工具 之 间 交 换 的 支持 ， 同 时 又 保留 图 形 信息 ， 目 前 是 不 足 的 。 

许多 具体 的 标准 是 基于 上 述 提 及 的 标准 的 。 例 如 ASAM FIBEX 格式 ， 作 为 
表示 汽车 系统 网 络 数据 的 格式 ， 它 使 用 XML 和 XML 方案 。 这 也 是 新 的 汽车 软件 / 
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硬件 组 件 描 述 语 言 (由 AUTOSAR 开发 ) 的 情况 ， 且 也 是 近期 需求 交换 格式 
(RIF) To] 一 一 一 种 标准 化 需求 信息 交换 格式 ， 旨 在 替换 文本 文件 。 





10.5 MBD 类 别 与 工业 实践 











本 节 提 供 MBD 的 工业 实践 的 简介 。 尽 管 演示 是 举例 ， 但 要 有 代表 性 ， 目 的 
在 于 举例 要 包括 多 个 域 的 案例 一 一 来 自 原始 设备 制造 商 (OEM) 以 及 子 系统 供 
应 商 ， 其 中 MBD 被 用 于 不 同 的 目的 。 肯 和 人 式 系统 的 MBD 是 一 个 研究 热点 领域 。 
下 面 由 实践 状态 的 简介 ， 我 们 给 出 MBD 相关 研究 活跃 领域 的 简要 概述 。 有 兴 
的 读者 可 参考 文献 [3 -5、9、42、69、79 、82 ] ， 对 该 主题 展开 进一步 阅读 。 


10.5.1 汽车 实践 简 述 


在 一 般 情况 下 ， 研 发 做 法 在 不 同 的 公司 和 整个 汽车 领域 有 很 大 程度 的 不 同 。 
这 并 不 奇怪 ， 因 为 汽车 垦 入 式 系 统 存在 异 质 性 。 虽 然 某 些 领 域 的 特点 是 用 基于 模 
型 的 方法 来 支持 研发 的 几 个 步骤 和 方面 ， 但 其 他 领域 仍 主要 依靠 书面 文件 作为 规 
范 和 手写 的 C 代码 用 于 软件 开发 。 在 一 般 情 况 下 ， 存 在 一 个 有 限 系 统 级 MBD E 
具 ， 用 于 集成 /网 络 化 、 系 统 架 构 和 信息 化 管理 。 一 个 完整 的 开发 链 涉及 若干 工 
具 和 一 些 信息 ， 它 们 松散 地 集成 在 一 起 。 这 方面 的 问题 ， 包 括 努 力 把 功能 规格 工 
具 与 软件 设计 工具 、 具 体 的 工程 分 析 模 型 /工具 (例如 ， 安 全 性 和 可 靠 性 ) 结合 
起 来 。 

10. 5.1.1 基于 模型 的 跨 企 业 沟通 与 整合 

能 入 式 系统 的 一 个 典型 汽车 OEM 的 开发 过 程 ， 包 括 书写 子 系统 供应 商 规范 ， 
然后 测试 和 集成 产生 的 ECU。 在 其 他 情况 下 ，OEM 厂商 可 以 编写 ECU 的 部 分 软 
件 ， 其 中 集成 可 以 通过 OEM 或 子 系统 供应 商 来 完成 。 对 于 一 些 ECU，OEM 将 开 
发 完整 的 应 用 程序 软件 ， 并 往往 伴随 一 个 专 有 软件 平台 。 规 格 和 单独 开发 子 系统 
的 集成 至 少 需要 在 组 件 接口 、 非 功能 性 的 属性 〈 例 如 ， 重量) 、 故 障 报告 和 诊断 
程序 上 ， 得 到 合作 伙伴 的 认同 。 在 目前 的 实践 中 ， 一 种 广泛 使 用 的 接口 规范 和 匹 
配方 法 ， 就 是 通过 使 用 标准 化 的 网 络 ， 主 要 是 控制 器 局 域 网 络 ， 在 合作 伙伴 之 间 
提供 一 个 共享 的 通信 格式 和 协议 。 然 后 ， 合 作 伙伴 之 间 的 交流 是 根据 基于 文本 的 
文档 ， 辅 以 针对 共识 和 一 致 性 检查 的 直接 交流 。 由 于 这 样 的 方法 限制 在 网 络 级 ， 
因而 不 直接 提供 支持 给 早期 的 分 析 以 及 细 粒 度 组 件 的 接口 匹配 ， 比 如 当 外 部 功能 
和 软件 组 件 需要 直接 集成 到 产品 或 其 子 系统 上 时 。 一 些 努力 和 新 的 工具 尝试 支持 
系统 级 设计 〈 见 参考 文献 [98、113 、115 、116] ) 。 一 些 OEM 制造 商 和 供应 商 
通过 使 用 Simulink 或 其 他 模型 ， 试 图 解决 问题 以 改进 信息 交换 。 有 一 个 限制 就 是 
在 大 多 数 情况 下 ， 该 方法 限定 到 功能 方面 。 经 常 保持 开放 状态 的 议题 ， 包 括 例如 
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技术 决策 和 假设 的 可 追踪 性 和 关于 时 序 、 同 步 、 安 全 性 和 可 变性 的 接口 语义 。 此 
外 ,关注 IP 也 可 能 引起 一 致 性 检查 和 行为 组 成 方面 的 问题 。 

10. 5.1.2 基于 模型 的 信息 管理 

当 在 工业 上 引入 结构 化 信息 管理 时 ， 当 今 的 问题 在 很 大 程度 上 具有 组 织 性 
质 。 存 在 强烈 需求 ， 以 支持 从 基于 文本 模型 到 基于 模型 的 信息 管理 的 过 渡 。 基 于 
PDM、SCM， 或 基于 具有 类 似 功能 的 工具 ， 不 同 领域 和 学 科 实 现 了 信息 管理 的 各 
种 方法 。 这 个 地 方 也 将 出 现 一 些 新 的 工具 供应 商 。 然 而 在 实践 中 ， 当 今 汽 车 行业 
中 的 基于 模型 的 信息 管理 仍 是 一 个 远景 ， 不 仅 针对 系统 级 水 平 ， 同 时 也 针对 许多 
领域 和 学 科 。 大 部 分 研究 公司 的 研发 者 仍然 用 文本 编辑 的 文档 定义 他 们 自己 的 功 
能 要 求 。 需 要 经 历 成 千 上 万 次 的 跟踪 文件 变化 ， 这 是 令 人 厌烦 的 ， 但 它 是 许多 设 
计 师 的 日 党 写照 。 虽 然 在 许多 机 构 中 ， 转 换 到 基于 模型 的 范式 的 志向 是 优先 考虑 
的 事 ， 但 许多 其 他 人 并 不 承认 这 方面 的 努力 。 虽 然 这 些 问 题 处 理 的 方式 不 同 ， 但 
问题 很 普通 ， 且 具有 同样 的 性 质 : 信息 溢出 、 版 本 管理 、 过 时 的 信息 和 后 期 测试 
问题 。 有 些 机 构 不 是 专注 于 基于 模型 的 方法 ， 而 是 选择 寻找 一 个 共同 的 定义 ， 就 
是 如 何 编写 要 求 ， 把 它 作 为 整合 信息 的 一 种 措施 。 复 林产 品 开 发 中 产生 的 信息 浇 
出 对 电气 /电子 工程 师 和 软件 工程 师 来 说 ， 特 别 具 有 挑战 性 。 在 这 里 ， 对 不 同 的 
工程 学 科 进 行 整合 和 平衡 的 要 求 是 品质 产品 开发 的 先决 条 件 。 

10. 5.1.3 基于 模型 的 车 辆 运动 控制 工程 

对 于 汽车 行业 控制 系统 的 研发 ，MBD 在 许多 领域 已 经 是 一 个 标准 的 设计 方 
法 ， 虽 然 内 容 在 不 同 的 公司 和 子 系统 之 间 有 所 不 同 。 成 熟 使 用 的 特点 就 是 使 用 了 
基于 模型 的 控制 工程 方法 ， 其 中 使 用 的 模型 是 车 辆 和 控制 算法 模型 。 典 型 的 应 用 
领域 包括 : 底盘 系统 、 动 力 总 成 和 空调 控制 。 对 于 基于 模型 的 方法 的 一 个 替代 方 
案 是 通过 调整 ， 其 中 控制 行为 主要 是 通过 调整 来 决定 。 例 如 ， 发 动机 控制 的 设计 
没有 基于 模型 控制 传统 的 汽车 领域 ， 它 很 大 程度 上 依赖 于 查询 表 和 校准 。 

CAE 工具 文 持 的 MBD ( 见 参考 文献 [91, 98, 102]) 在 机 械 和 电子 硬件 可 
用 之 前 ， 通 过 允许 采用 早期 的 V&V 的 渐进 式 开发 ， 加 快 了 先进 控制 功能 的 设计 。 
一 个 典型 的 设计 始 于 使 用 的 并 通过 细 化 的 行为 模型 、 模 拟 、 快 速成 型 、 应 用 软件 
的 软件 在 环 仿真 、 目 标 代 码 的 生成 ， 最 后 使 用 硬件 在 环 仿真 ， 其 中 电子 控制 单元 
(ECU) 的 设置 针对 车 辆 和 非 可 用 的 ECU 的 实时 仿真 进行 测试 。 在 一 些 公司 和 领 
域 ,控制 系统 的 开发 并 没有 与 般 入 式 系统 实施 联系 。 在 这 种 情况 下 ， 控 制 系统 模 
型 将 是 执行 小 组 说 明 书 的 一 部 分 。 针 对 基于 模型 方法 的 工具 支持 ， 当 今 主要 受 限 
于 每 一 个 ECU 基础 。 在 一 个 ECU 中 ， 应 用 软件 集成 到 系统 软件 可 以 手动 完成 ， 
或 使 用 面向 软件 开发 如 基于 UML 的 工具 来 完成 。 在 这 种 情况 下 ， 控 制 系统 代码 
与 系统 软件 的 集成 ， 就 像 手写 任何 一 条 代码 。 
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10.5.1.4 基于 模型 的 通用 功能 和 软件 设计 

在 车 辆 中 ， 和 车身 和 信息 娱乐 领域 包括 的 功能 在 其 本 质 上 主要 是 离散 的 。 这 些 
功能 通常 有 复杂 的 逻辑 交互 ， 并 且 可 能 对 同步 、 性 能 (例如 ， 带宽 和 流量 ) 以 
及 使 用 条 件 敏 感 。 为 了 使 早期 验证 、 不 同 的 基于 状态 的 建 模 和 分 析 技 术 能 够 实 
行 一 一 就 像 在 通用 软件 系统 中 已 经 在 实践 中 使 用 的 。 例 如 ， 创 建 车 辆 人 机 界面 
(HMI) 的 早期 模型 ， 既 可 以 当做 鸭 驶 模拟 器 中 的 桌面 模拟 ， 也 可 以 装 在 一 个 旧 
的 车 辆 上 ， 它 是 一 个 重要 的 实践 ， 来 验证 有 关 性 能 、 可 用 性 和 用 户 友好 这 样 的 接 
口 功 能 。 相 对 于 软件 建 模 ， 使 用 UML 一 直 在 增加 。 然 而 ， 在 汽车 能 入 式 系统 中 
还 没有 广泛 普及 使 用 UML。UML 的 子 集 用 于 多 种 用 途 ， 包 括 通信 和 记录 。 也 有 
使 用 UML 工具 包括 代码 生成 的 情况 。 

10. 5.1.5 基于 模型 的 测试 

基于 模型 的 测试 使 用 日 益 增加 ， 其 中 提供 的 几 种 模式 的 测试 是 通过 使 用 以 下 
模型 和 工具 得 到 的 ， 从 单纯 的 基于 模型 的 模拟 ， 对 软件 仿真 ， 到 硬件 在 环 仿真 。 
基于 模型 的 测试 面临 的 挑战 是 需要 为 系统 的 配置 管理 和 对 定义 相关 测试 案例 、 对 
般 入 式 系统 开发 有 更 系统 的 方法 。 

10. 5.1.6 基于 模型 的 安全 工程 

安全 工程 的 总 体 目 标 是 识别 危险 、 评 估 风 险 ， 并 开展 危害 控制 ， 最 大 限度 地 
减少 风险 。 该 分 析 通 常 需要 了 人 解 可 能 的 部 件 误差 ( 即 失效 模式 ) 以 及 在 一 个 系 
统 内 的 传播 及 其 后 果 。 对 于 汽车 系统 ， 一 组 传统 的 安全 分 析 技 术 如 FMEA 和 FTA 
在 工程 实践 中 使 用 。 这 些 技术 都 依赖 于 分 析 模 型 、 捕 捉 系 统 的 错误 逻辑 ( 即 可 
能 出 现 的 错误 和 错误 传播 ) 。 一 个 挑战 是 误差 模型 以 及 分 析 的 结果 往往 是 分 开 存 
放 ， 且 可 能 会 偏离 实际 的 设计 [®]。 


10.5.2 ”研究 和 相关 的 标准 化 工作 


汽车 般 入 式 系统 的 异 质 性 ， 就 不 同 领 域 、 特 点 和 性 能 而 言 ， 已 经 上 升 到 一 个 
非常 大 量 的 建 模 形式 化 、 技 术 和 工具 来 支持 MBD。 这 些 技术 中 的 每 一 个 只 各 自 
涵盖 限定 的 系统 关注 点 。 这 些 技术 并 不 总 是 整合 ， 缺 乏 一 个 共同 的 术语 和 理解 相 
结合 的 事实 ， 可 能 会 导致 严重 的 问题 。 在 MBD 领域 存在 大 量 的 研究 课题 ， 包 括 
建 模 语 言 、 模 型 的 集成 和 管理 方法 、 方 法 学 、 用 于 分 析 的 具体 技术 、 系 统 的 细 
化 、 从 系统 规范 生成 的 测试 案例 、 优 化 和 综合 技术 、 逆 向 模型 工程 (其 中 现 有 
的 软件 /硬件 的 模型 可 以 用 系统 的 方法 创建 ) 、 建 模 重 构 系 统 、 表 示人 复杂 系统 的 
人 机 界面 (HMI) 、 部 件 模 型 和 平台 。 几 个 主题 也 是 相互 关联 的 。 这 个 不 断 发 展 
领域 的 一 个 挑战 ， 是 由 于 其 多 学 科 性 ; 该 主题 在 许多 领域 内 进行 了 探索 ， 包 括 系 
统 工程 、 构 入 式 软件 、 电 子 设计 自动 化 、 可 靠 性 和 安全 工程 、 控 制 工 程 、 机 电 一 
体 化 、 汽 车 工程 ， 以 及 更 多 ， 它 们 大 多 出 现在 相应 的 会 议和 期 刊 上 。 在 下 面 , 我 
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们 将 专注 于 上 述 前 三 个 议题 ， 并 强调 在 能 入 式 系统 工程 方向 上 的 努力 。 

10.5.2.1 岁入 式 系统 的 建 模 语 言 

如 图 10. 3 所 示 ， 在 般 入 式 系 统 的 研发 中 有 或 已 经 存在 大 量 的 语言 。 在 这 里 ， 
我 们 专注 于 两 类 语言 ， 即 ADL 和 行为 建 模 语言 。 为 了 支持 设计 和 系统 集成 ， 存 
在 能 入 式 系统 标准 化 描述 的 强烈 需求 ， 这 已 促使 了 ADL 的 发 展 。 一 个 典型 的 情 
况 就 是 针对 一 个 系统 集成 商 ， 他 应 该 指定 和 集成 大 量 组 件 〈 功 能、 软件 、 电 子 、 
传感器 和 执行 器 ) 。 系 统 描述 语言 可 以 使 这 样 的 集成 系统 实现 通信 、 记 录 和 协 
调 ， 以 及 正式 的 分 析 和 系统 自动 综合 。 一 个 综合 的 典型 案例 就 是 生成 粘贴 代码 / 
逻辑 ， 例 如 支持 软件 组 件 之 间 的 交互 。ADL 的 重点 是 系统 结构 ， 它 们 可 能 处 于 
不 同 抽象 层次 上 。 然 而 ， 通 常 还 提供 一 些 行为 方面 ， 使 得 系统 级 分 析 能 够 进行 。 
存在 若干 种 相关 ADL 的 工作 案例 ， 它 们 包括 AADL、AUTOSAR、CAR - DL, 
EAST - ADL 以 及 相关 的 OMG 语言 和 工作 .87.89.93.94111] 。 我们 在 本 章 不 进 
一 步 探讨 这 些 工 作 ， 因 为 有 单独 的 一 章 专门 讨论 ADL 话题 ， 因 而 我 们 建议 有 兴 
趣 的 读者 参考 它们 。 

行为 建 模 语言 共同 的 愿望 就 是 提供 高 层次 的 行为 抽象 ， 并 在 软件 /硬件 实施 
级 之 上 。 更 进一步 的 共同 点 ， 包 括 渴望 捕 提 到 许多 不 同类 型 的 行为 〈 计 算 模型 ) 
和 风 入 式 系 统 的 属性 ， 转 换 或 改进 的 进展 ， 其 中 抽象 模型 可 以 转换 成 软件 或 描述 
哪些 硬件 可 以 综合 。 此 类 别 中 的 语言 通常 支持 行为 模拟 、 分 析 和 综合 。 一 个 研究 
的 挑战 是 支持 多 个 MOCS 在 同一 框架 内 ， 同 时 又 提供 良好 的 分 析 和 综合 的 基础 。 
一 个 相关 研究 的 挑战 是 支持 分 布 式 垦 入 式 计 算 机 系统 的 行为 模型 的 细 化 。 在 这 个 
类 别 中 ， 存 在 几 种 商用 语言 ， 包 括 Simulink 、Modelica 和 SystemC! 102.106.112] 。 研 
究 方法 的 案例 包括 Ptolemy, Forsyde, Milan, Metropolis 和 其 他 协同 设计 工 
MELSE 69 83104.408] 。 下 面 我 们 描述 Metropolis 这 一 类 的 研究 工作 ， 并 作为 一 个 例 
证 。ADL 和 行为 建 模 语言 的 连接 和 /或 集成 构成 了 一 个 有 趣 的 研究 挑战 。 

当 UMLI 和 UML2 缺乏 许多 般 入 式 系 统 建 模 所 需 的 属性 时 ， 存 在 儿 种 OMG 
的 进展 ， 它 们 试图 解决 这 些 问题 ， 补 充 UML 规范 。 有 一 种 方式 来 处 理 这 样 的 扩 
展 ， 就 是 利用 现 有 的 UML 扩展 机 制 ， 来 定义 一 个 UML2 $R, EAST - ADL 的 工 
作 是 一 个 例子 ， 其 中 通过 使 用 UML2 的 扩展 机 制 ， 把 UML2 语言 调整 到 特定 域 ， 
并 且 更 正式 。 当 今 OMG 的 征求 方案 一 一 MARTE 就 是 为 解决 这 一 问题 而 来 ， 其 目 
的 在 于 针对 实时 舱 入 式 系统 定义 一 个 新 的 UML 轮廓 ， 比 如 添加 用 于 指定 时 序 要 
求 和 组 件 行为 的 属性 9 。 另 一 个 OMG 的 工作 就 是 最 近 的 SysML 标准 一 一 针对 
系统 工程 应 用 的 可 视 化 建 模 语言 HL] 。SysML 支持 规定 、 分 析 、 设 计 和 范围 广泛 
系统 的 V&V， 以 及 系统 的 系统 。 它 被 当做 一 个 UML2 的 轮廓 来 实施 ， 增 加 了 一 
些 图 表 和 结构 到 UML2 中 (主要 与 要 求 和 参数 关系 有 关 ) 。SysML 提供 了 一 个 有 
趣 的 框架 ， 但 仍然 需要 证 明 是 对 入 式 系统 领域 的 。 
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Metropolis 是 一 个 用 于 瞬 人 式 系统 研发 的 环境 ， 从 规范 到 实施 具有 “平台 为 
基础 的 ”方法 和 连续 的 细 化 [9.49] 。 这 种 方法 起 源 于 电子 设计 自动 化 领域 ， 且 想 
法 是 探索 经 过 验证 的 硬件 综合 的 概念 是 否 可 以 扩展 到 和 衣 人 式 系 统 。 其 目的 是 为 了 
满足 对 复杂 的 控制 和 检验 不 断 增 长 的 需求 ， 并 提供 规范 和 实现 之 间 定 义 良 好 的 语 
义 链接 。 重 点 是 通过 正规 方法 的 分 析 和 综合 ， 以 及 对 异 构 模型 的 集成 。 Metropo- 
lis 提供 了 计算 的 元 模型 ， 它 是 形成 表达 常用 MoC 的 基础 。Metropolis 中 的 系统 建 
模 包 括 抽象 行为 规范 、 架 构 、 行 为 映射 到 架构 元 素 ， 以 及 表达 对 数量 的 限制 ， 如 
时 间 和 活力 。 在 架构 模型 中 ， 计 算 和 通信 部 件 的 特点 由 服务 和 费用 (比如 能 源 ) 
来 表征 。 映 射 对 应 于 行为 的 细 化 ， 它 提供 了 新 兴 的 属性 。 在 Metropolis 中 探索 的 
做 法 是 支持 优化 设计 与 分 析 、 验 证 工具 相 结 合 。 

10.5.2.2 散 入 式 系 统 的 模型 集成 和 管理 

正如 本 章 前 面 所 述 ， 般 入 式 系统 的 开发 中 使 用 的 不 同类 型 的 工具 之 间 存 在 许 
多 可 能 的 关系 。 这 些 依 赖 关 系 和 研发 进程 可 以 用 来 识别 不 同 的 集成 模 
GRE? 476) 。 需 要 集成 的 一 个 典型 的 案例 就 是 需要 支持 几 种 类 型 的 分 析 。 由 于 工 
具 和 分 析 技 术 是 零散 的 ， 需 要 开发 用 于 提取 和 有 映射 异 构 类 型 信息 的 支持 。 通 过 党 
见 的 格式 或 元 模型 以 及 通过 支持 工具 接口 和 互 操作 性 ， 可 以 实现 集成 。 

处 理 信息 的 方法 之 一 是 采用 PDM 方法 ， 其 中 信息 既 可 以 集中 存储 ， 也 可 以 
存储 在 域 工具 中 。 无 论 采 用 何 种 方法 ， 重 要 的 是 要 认识 到 : 模型 有 部 件 和 结构 ， 
它们 需要 进行 版 本 控制 、 配 置 和 记录 。 在 这 个 过 程 中 面临 的 一 个 挑战 ， 就 是 处 理 
和 整合 不 同 来 源 的 信息 。 所 产生 的 挑战 就 是 提供 管理 工具 ， 它 们 支持 全 方位 的 髓 
和 信 式 系统 开发 ， 允 许 细 粒 度 信 息 管理 。 作 为 管理 的 基础 ， 产 品 信 息 模 型 是 重要 
的 。 在 今天 ， 在 机 械 工程 领域 存在 标准 化 模型 ， 但 不 是 针对 藤 入 式 系统 的 。 骨 入 
式 系统 建 模 语言 的 进展 可 以 为 建立 标准 提供 基础 。 

相关 研究 工作 的 案例 在 下 面 给 出 ( 见 文献 [11] ) : 

e GeneralStore 是 一 个 平台 ， 它 启动 一 个 研发 过 程 运 行 一 一 从 模型 变 成 可 执 
行 代 码 ， 其 中 集成 了 异 构 的 CASE 工具 (例如 ，Matlab/Simulink 和 ARTISAN RT 
Studio! °°!) 和 相关 的 代码 生成 工具 。UML 模型 用 于 整个 系统 的 设计 ， 其 子 系统 
模型 可 以 在 离散 和 连续 时 间 域 内 描述 。 这 是 通过 提供 UML 中 CASE 数据 的 元 级 
定义 来 实现 的 ， 然 后 将 在 MOF 的 对 象 库 中 集成 元 模型 。CASE 工具 之 间 的 数据 
交换 由 XML 支持 。GeneralStore 提供 配置 管理 支持 [5]。 

© ToolNet 是 一 个 集成 平台 ， 它 管理 域 工具 的 集成 一 一 针对 具体 的 设计 阶段 
或 通 入 式 软件 系统 的 各 个 方面 ， 如 DOORS'°7! 和 Matlab/Simulink。 这 种 方法 把 域 
数据 留 在 各 自 的 工具 处 。 数 据 集成 是 通过 就 域 工具 数据 (然后 它 在 关系 库 中 存 
储 和 管理 ) 关系 和 一 致 性 限制 而 言 ， 指 定 虚 拟 对 象 空间 来 实现 的 。 标 准 化 的 
API， 用 于 支持 工具 访问 和 基于 XML 的 工具 数据 输出 。ToolNet 提供 了 一 个 用 于 
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导航 的 图 形 用 户 界面 525] 。 

e 模型 集成 计算 。 在 Vanderbilt 大 学 的 研究 中 ， 方 法 和 MBD 原型 工具 套件 
包括 模型 的 集成 和 管理 工具 已 经 研制 成 功 。 该 方法 强调 使 用 特定 域 的 建 模 语言 ， 
以 及 采用 不 同 工 程 工具 用 于 集成 的 模型 转换 。 通 过 个 别 模型 的 元 模型 的 映射 实施 
转换 。 为 了 支持 工具 数据 交换 ， 不 同 的 工具 连接 是 基于 CORBA/COM 技术 的 。 
当 每 个 工具 有 一 个 接口 适配器 提供 数据 访问 (例如 通过 一 个 数据 文件 或 COM 接 
O) 和 语法 操作 时 ， 系 统 就 提供 了 一 个 集中 的 语义 翻译 (或 转换 ) 服务 ， 它 用 
于 保留 正在 交换 的 工具 数据 的 语义 5351 。 

10. 5.2.3 MBD 的 方法 论 支持 

支持 能 入 式 系统 MBD 的 方法 论 是 需要 的 。 作 为 方法 论 的 一 部 分 ， 需 要 定义 
应 该 如 何在 研发 过 程 中 使 用 模型 ， 以 及 不 同类 型 的 模型 如 何 与 建 模 语 言 关 联 。 方 
法 论 应 该 提供 准则 : 何 时 以 及 如 何 处 理 不 同 的 产品 现象 。 主 要 的 挑战 是 支持 成 本 
效益 、 系 统 的 设计 与 验证 (由 模型 和 分 析 技 术 支 持 ) 方法 的 发 展 。 与 汽车 机 械 
工程 的 集成 ， 面 临 系 统 和 机 电 一 体 化 工程 道路 上 一 些 挑 战 。 今 天 ,虽然 它 们 的 交 
货 时 间 较 短 ， 但 软件 和 电子 产品 在 产品 开发 过 程 中 往往 被 视 为 滞后 。 当 子 系统 和 
部 件 进行 了 优化 时 ， 并 不 意味 着 整个 系统 进行 了 优化 。 

研究 和 方法 论 的 发 展 是 一 个 有 趣 的 领域 ， 应 借鉴 系统 工程 、 并 行 工 程 及 相关 
学 科 的 经 验 民 了 2 6.6.785] 。 这 些 方法 的 一 个 共同 的 假设 是 ， 管 理 得 当 的 流 
程 带 来 满意 的 产品 和 效率 。 另 一 方面 ， 在 强调 工程 的 管理 方面 时 ， 所 有 这 些 方法 
都 假设 产品 以 及 必要 的 领域 知识 〈 例 如 汽车 工程 ) 都 描述 清楚 并 提供 了 [24] 。 为 
了 管理 各 种 问题 、 保 证 产品 质量 、 获 得 利益 相关 者 的 共识 、 改 进 流程 和 规划 好 机 
构 资 源 ， 正 确 捕获 这 些 信 息 就 显得 尤为 重要 。 例如， 为 了 允许 并 行 工 程 ， 产 品 信 
息 和 传统 上 与 特定 研发 阶段 相 联系 的 专业 知识 做 成 透明 的 ， 并 在 每 一 个 研发 阶段 
可 用 ， 这 点 非常 必要 。 这 些 方法 还 需要 考虑 适应 软件 和 舱 人 式 系统 的 性 能 。 同 
样 ， 方 法 的 研发 也 应 该 借鉴 现 有 的 软件 工程 流程 [9331， 但 是 适应 和 考虑 般 入 式 
系统 的 特点 需要 进一步 的 工作 。 在 文献 中 存在 若干 篇 和 对 般 入 式 系统 MBD 方法 
有 贡献 的 文献 ( 见 参考 文献 [4、10、19、28 、42 ] ) 。 一 个 例子 是 基于 平台 的 设 
计 ， 其 方法 来 自 电子 产品 的 设计 ， 其 中 概念 性 的 想法 就 是 提供 在 不 同 层次 的 抽象 
级 的 可 重复 使 用 的 平台 。 平台 约束 了 设计 ， 且 与 此 同时 在 每 个 抽象 层次 处 ， 构 成 
一 种 产品 线 。 留 下 的 一 个 挑战 是 在 不 同 的 抽象 层次 之 间 与 在 集成 描述 不 同系 统 方 
面 的 模型 中 ， 如 何 支 持 正式 的 细 化 1%]。 





















































10.6 在 工业 领域 采用 MBD 的 准则 


引进 和 扩展 使 用 支持 MBD 的 工具 链 并 不 是 没有 问题 。 引 进 该 工具 链 带 来 对 
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寺 定 工具 销售 商 的 信任 与 依赖 ， 并 需要 人 员 的 训练 。 对 整个 领域 范围 的 理解 
(为 技术 选择 提供 了 足够 的 必要 条 件 ) ， 在 机 构 中 存在 对 MBD 技能 熟练 是 有 激情 
的 人 ， 还 有 对 战略 问题 的 考虑 ， 这 些 都 属于 成 功 运 用 MBD 的 先决 条 件 。 

本 章 介绍 了 几 个 关于 MBD 的 重要 核心 问题 。 本 节 尝 试 总 结 和 详细 描述 这 些 
问题 ， 意 在 为 考虑 成 功 应 用 提供 准则 或 至 少 提供 检查 表 ( 回 看 表格 10. 1 ) 。 

当 考虑 应 用 MBD 时 ， 涉 及 的 相关 问题 如 下 : 

。 在 我 们 的 设置 中 ， 针 对 MBD 的 目标 和 驱动 因素 是 什么 ? 

。 就 流程 、 阶 段 、 活 动 、 产 品 关注 点 和 商业 环境 而 言 ，MBD 在 我 们 机 构 中 
的 合适 范围 是 什么 ? 

e 就 现 有 的 正式 流程 、 非 正式 工作 实践 而 言 ， 隐 含 的 结论 (我们 面临 的 机 
遇 和 挑战 ) 是 什么 ?哪些 机 构 单元 将 会 被 影响 ? 

。 对 MBD 技术 的 具体 需求 是 什么 ?哪些 与 MBD 技术 相关 联 ? 它们 的 局 限 
性 有 哪些 ? 

。 怎么 解决 模型 /信息 管理 和 集成 的 问题 ? 考虑 到 未 来 改革 ， 相 应 IT 体系 
结构 应 该 是 怎样 的 形态 ? 

o 怎样 处 理 遗 留 信息 、 模 型 和 工具 ? 

。 考虑 到 上 述 问题 后 ， 我 们 需要 采取 什么 步 又 来 恰当 地 引进 和 保持 这 种 新 
的 研发 方式 ? 

相关 的 工作 取决 于 其 规模 和 范围 。MBD 这 种 方式 可 能 需要 更 多 的 工作 努力 ， 
因为 它 跨 越 了 学 科 / 研 发 阶段 /领域 /企业 界限 。 考 虑 到 当前 的 工作 实践 是 受 局 部 
地 区 工作 的 主导 ,许多 新 的 工作 涉及 系统 级 MBD， 瞒 准 集成 MBD 的 工作 。 系 统 
级 的 工作 构成 大 幅度 变化 ， 需 要 很 多 战略 性 的 思考 ， 这 些 我 们 将 在 下 面 进 行 讨 
论 。 该 节 主 要 讨论 系统 级 MBD 工作 ,但 是 我 们 相信 从 中 引发 的 许多 问题 同样 适 
用 于 较 小 规模 的 MBD 工作 。 

下 面 我 们 讨论 在 采用 MBD 方式 时 的 战略 性 问题 、 流 程 和 机 构 考 虑 ， 讨论 
MBD 技术 /工具 的 理想 属性 ; 还 有 对 于 争论 和 陷阱 的 提示 。 有 些 战略 问题 会 在 后 
面 的 章节 中 进行 深入 的 讨论 。 


10.6.1 战略 问题 


就 像 其 他 投资 一 样 ， 引 进 MBD 必须 有 动机 。 然 而 ， 没 有 一 个 普遍 使 用 的 方 
式 来 评价 该 投资 的 效果 。 我 们 相信 ， 本 章 给 出 的 框架 ( 表 10.1) 对 何 时 和 怎样 
采用 MBD 技术 的 战略 性 选择 提供 了 基本 参考 。 在 评估 了 目标 、 驱 动力 和 范围 后 ， 
通过 建立 MBD 的 工作 基础 ， 形 成 了 更 深层 次 的 基准 。 工 作 基础 包含 了 一 个 产品 
实体 论 的 定义 ， 包 括 定义 产品 部 件 、 关 系 、 性 能 和 融合 了 阶段 、 活 动 、 信 息 流 动 
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和 事件 的 相关 参考 流程 。 对 流程 模型 来 说 ， 阐 述 利 益 相 关 者 和 与 不 同 角 色 、 不 同 
关注 点 相关 的 观点 是 十 分 重要 的 (对 比 表 10.2)。 我 们 建议 将 这 些 基础 描述 成 模 
型 本 里 。 这 些 模型 可 以 用 来 与 现 有 的 流程 和 机 构 进行 比较 ， 从 而 更 好 地 评估 潜在 
的 所 需 变化 。 当 探索 与 其 他 部 分 的 接口 (流程 、 产 品 、 信 息 和 机 构 ) 时 ,实体 
论 或 者 信息 模型 应 该 聚焦 于 被 认为 是 与 MBD 工作 最 相关 的 部 分 。 

与 考虑 的 较 大 规模 的 MBD 工作 有 关 的 更 加 深入 的 战略 性 问题 包括 : 

。 对 采用 MBD 和 对 该 技术 长 期 改革 的 规划 。 需 要 建立 一 个 针对 采用 新 的 
或 者 修改 的 MBD 方法 的 计划 。 一 个 诸如 MBD 的 新 研发 方法 需要 在 用 户 和 管理 者 
之 间 形 成 上 涨 的 积极 性 ， 并 在 机 构 内 创立 苋 争 性 和 新 文化 。 开 展 教育 和 领航 研 
R, XF MBD 取得 成 功 是 非常 重要 的 。 一 个 特定 的 机 构 很 有 可 能 已 经 在 某 些 领 
域 /学 科 中 运用 了 MBD 方法 。 然 而 ， 其 他 领域 /学 科 和 整体 戏 入 系统 工程 ， 尤 其 
是 模型 管理 和 集成 ， 它 们 的 基础 一 般 不 是 建立 在 模型 上 。 在 规划 MBD 方法 中 的 
核心 问题 有 : 模型 集成 、 管 理 、 处 理 遗 留 信息 和 人 工 产品 。 

。 研究 一 个 适当 的 信息 和 工具 架构 。 这 个 问题 尤其 需要 对 人 研发 活动 和 模型 
的 从 属 关系 进行 调查 。 给 定 了 这 个 信息 ， 就 很 容易 解决 模型 管理 和 模型 /工具 集 
成 的 各 种 问题 ， 也 使 解决 部 分 先行 战略 问题 变 得 容易 。 

。 技术 /工具 选择 。 定 义 机 构 对 MBD 工具 所 需 的 功能 是 一 个 重要 的 起 始点 。 
一 旦 完成 了 这 项 工作 ， 可 以 制作 出 现 有 模型 工具 所 需 的 映像 。 通 常情 况 下 ， 工 具 
与 工具 之 间 存 在 很 多 相似 之 处 ,但 是 在 复杂 的 研发 中 ， 很 难 找 到 刚好 适用 于 公司 
PERTH, FERRARA SN MBD 领域 中 ， 存 在 一 些 领域 还 没有 被 商业 工具 所 

盖 。 在 标准 的 、 定 制 的 或 专用 工具 中 ， 进 行 选择 和 权衡 也 因而 成 为 一 个 问题 。 

© MBD 文化 。 一 个 主要 的 挑战 就 是 让 人 们 心态 适应 从 书写 文本 文件 变 成 
MBD。 为 了 获得 MBD, ， 机 构 中 应 该 渗透 进 新 的 思维 方式 。 为 了 使 MBD 在 开发 环 
境 中 获得 普遍 认可 ， 人 们 应 该 感觉 到 有 必要 通过 使 用 模型 进行 阅读 、 检 索 和 信息 
储存 。 由 于 信息 被 不 同 工 程 设 计 背 景 的 工程 师 分 别 使 用 ， 因 此 了 人 解 其 他 外 部 工程 
领域 设计 师 参 与 特定 信息 领域 所 需 的 要 求 是 很 重要 的 。 

。 使 工具 /进程 适应 用 户 需 求 或 者 使 用 户 适 应 新 的 进程 /工具 。 这 个 问题 将 
取决 于 机 构 的 传统 ， 以 及 当前 的 流程 和 已 建立 的 工作 实践 以 多 大 的 程度 符合 所 需 
的 MBD 流程 。 


10.6.2 RA MBD: 流程 和 机 构 方面 的 考虑 


在 采用 MBD 过 程 中 ， 不 可 忽视 对 机 构 方面 的 考虑 !2 S97) 。 下 面 我 们 将 讨论 
与 MBD 研发 流程 与 工作 步骤 以 及 引进 的 步伐 和 方法 相关 的 问题 。 对 于 这 个 领域 
更 多 的 阅读 资料 参阅 文献 [26, 45, 47, 59], 
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10.6.2.1 MBD 研发 流程 与 工作 步骤 

我 们 知道 开发 者 建立 他 们 自己 的 非 正 式 工作 流程 ， 然 后 让 正式 的 产品 研发 流 
程 去 适应 他 们 每 日 的 工作 状况 。 当 为 了 技术 的 或 信息 管理 活动 引进 MBD 工具 时 ， 
产生 了 这 样 的 问题 : 标准 化 的 产品 研发 流程 是 否 应 该 用 于 MBD ， 或 让 流程 适应 
机 构 中 使 用 的 非 正 式 工作 步骤 ? 因此 ， 另 外 一 个 值得 被 人 们 思考 的 机 构 先 决 条 件 
是 : 对 标准 工具 解决 方案 的 产生 的 需求 和 因 避 免 对 工作 步骤 强迫 性 适应 产生 的 需 
求 ， 前 者 比 后 者 高 出 的 程度 有 多 少 ? 如 果 用 户 感知 的 需求 没有 通过 采用 MBD T 
具 而 得 到 满足 ， 那 么 研发 者 将 被 迫 进 入 不 必要 的 工作 步骤 。 

如 果 集 成 的 需求 较 大 ， 那 么 可 能 的 技术 性 以 及 术语 上 (或 专业 性 ) 的 接口 
问题 是 需要 克服 的 。 当 把 MBD 引入 到 汽车 机 构 上 时 ， 一 个 挑战 就 是 缺乏 一 个 连 
贯 的 术语 。 打 比方 说 ， 适 应 MBD 的 结果 是 对 变化 的 需求 或 者 由 新 的 任务 产生 的 
新 的 组 织 角色 需求 。 在 不 同 工 程 学 科 之 间 ， 使 用 的 机 构 术 语 也 有 可 能 是 不 同 的 。 
在 引入 信息 管理 系统 来 管理 来 自 不 同 模型 的 信息 中 ， 使 用 连贯 一 致 的 术语 必须 定 
义 。 这 可 以 被 看 做 系统 级 MBD 方法 的 优势 ， 因 为 它们 需要 机 构 对 基础 层面 的 重 
视 。 然 而 ， 一 定 不 要 低估 对 信息 如 何 构建 进行 定义 的 重要 性 。 在 通常 情况 下 ， 在 
引进 MBD 时 要 求 规范 的 形式 化 是 十 分 必要 的 。 尽 管 MBD 工具 是 可 用 的 ， 但 这 些 
工具 本 身 不 会 告知 信息 的 合适 抽象 级 是 什么 。 一 个 适应 MBD 并 将 工作 步骤 考虑 
在 内 的 方法 论 ， 应 当 定 义 如 何在 研发 流程 中 运用 模型 和 不 同类 型 的 模型 之 间 如 何 
关联 。 作 为 对 方法 论 的 补充 ， 对 辅助 用 户 使 用 MBD 技术 的 具体 准则 也 是 需要 的 。 
然而 ， 公 开 的 准则 十 分 稀缺 。 相 关 的 工作 是 针对 C 语言 编程 的 MISRA HEDIS! 。 
所 以 ， 许 多 采用 某 种 形式 MBD 的 公司 都 建立 了 他 们 自己 专用 的 准则 。 

10.6.2.2 引入 的 步伐 和 方法 

另 一 需要 考虑 的 方面 是 ， 引 入 的 步伐 可 以 是 什么 样 的 。 可 以 选择 逐步 引入 或 
者 全 面 铺 开 的 方式 :1。 重 要 的 是 找 出 建 模 工具 推定 用 户 的 动机 ， 然 后 去 鼓励 和 
培训 用 户 !”1。 机 构 中 的 个 体 对 变化 的 接受 水 平 有 所 不 同 。 当 引入 MBD 时 ， 应 
该 决定 是 否 采用 自 上 向 下 方法 ,或 是 否 可 能 采用 自 下 而 上 的 方法 。 自 下 而 上 的 方 
法 是 由 设计 者 的 需求 和 设计 者 使 用 新 工具 的 强烈 愿望 而 形成 的 。 因 此 ， 这 种 方法 
从 一 开始 就 涉及 设计 者 ， 且 聚焦 到 个 人 需求 和 对 目前 工作 实践 的 适应 性 。 然 而 ， 
这 种 自 下 而 上 的 方法 没有 在 上 层 管理 中 扎根 或 积极 支持 的 话 ， 那 么 工具 解决 的 方 
式 将 趋向 于 分 散 成 分 割 的 “用 户 岛 屿 ” ， 其 中 系统 适应 性 顺应 自然 发 展 ![9] A 
上 而 下 的 方法 总 结 了 从 更 加 全 局 化 的 观念 出 发 ， 考 虑 了 什么 样 的 信息 需要 被 储存 
及 共享 。 对 于 MBD 工具 领域 ， 一 个 全 局 化 的 方法 也 考虑 到 各 个 域 之 间 的 内 部 关 
系 ( 模 型、 工具 和 人 群 )， 以 及 系统 的 需求 、 功 能 和 整体 V&V 是 如 何 执行 的 。 
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10.6.3 HÆK MBD 技术 属性 


显而易见 但 并 非 实际 情况 都 如 此 的 是 : 技术 需求 是 基于 机 构 需要 的 工具 功 
能 ， 不 是 基于 市 场 上 可 用 的 功能 ， 这 是 因为 这 些 功能 是 由 不 同 的 工具 供应 商 开 发 
的 。 对 由 工具 表征 的 MBD 技术 的 需求 将 由 使 用 MBD 的 特定 环境 背景 决定 ， 以 及 
系统 属性 决定 ， 其 中 系统 属性 是 指 MBD 将 被 应 用 到 确定 工艺 范畴 、 目 标 一 一 比 
如 提高 产品 质量 或 上 市 时 间 一 一 和 MBD 的 手段 和 开展 相关 活动 来 达到 此 目标 。 
其 他 部 分 需求 遵循 流程 和 机 构 约束 ， 比 如 并 行 工程 。 

在 这 里 ， 我 们 将 理想 的 性 能 分 成 三 种 类 型 需求 : 一 般 需 求 、 工 艺 流 程 和 产品 
需求 以 及 集中 于 如 何 处 理 多 用 户 和 大 量 信息 的 管理 流程 需求 。 

一 般 需 求 包括 : 

。 CAE 工具 的 互 操作 性 。MBD 方法 将 涉及 一 组 相互 关联 的 工具 ， 它 们 反 过 
来 与 不 同 的 用 户 、 其 他 已 经 存在 工具 以 及 信息 /模型 互动 。 因 此 定义 好 的 工具 接 
O (外 部 以 及 内 部 的 ) 是 重要 的 。 努 力 的 方向 应 该 是 尽 可 能 少 的 工具 ， 其 中 解 
决 方案 必 将 是 针对 不 同 关注 点 提供 的 功能 与 模型 /工具 集成 工作 之 间 的 一 个 折 中 。 
MBD 工作 的 范围 越 大 ， 则 模型 管理 和 集成 的 影响 将 越 大 。 一 个 具体 的 问题 就 是 
处理 工具 之 间 的 重合/ 重复 服务 和 信息 。 

。 计算 机 与 用 户 的 交互 。 需 要 在 工具 和 用 户 之 间 提 供 适 合 的 计算 机 与 用 户 
交互 技术 。 特 别 是 ， 使 用 应 该 是 直观 的 ， 并 且 提 供 像 一 致 性 和 纠 错 性 检测 这 样 的 
反馈 。 必 须 考虑 到 单一 /多 个 使 用 者 以 及 不 同 使 用 条 件 下 (实验 室 和 在 汽车 中 
等 ) 的 支持 。 

。 适应 性 。 一 种 给 定 的 技术 和 一 套 工具 将 需要 适应 给 定 的 背景 ,并 考虑 到 
适应 不 断 变化 的 要 求 /背景 。 因 此 ， 在 一 定 程度 上 服务 可 配置 是 非常 重要 的 。 这 
也 为 之 后 的 适应 提供 了 方法 ,例如 融入 新 工具 或 变更 工作 程序 。 一 个 常见 的 要 求 
就 是 工具 服务 有 开放 的 API， 包 含 访问 工具 内 部 的 模型 。 对 于 信息 管理 系统 来 
说 ， 重 要 的 是 信息 模型 必须 是 定制 的 。 如 果 工 具 支 持 标准 交换 格式 的 输入 和 和 输 
出 ， 那 将 是 很 有 利 的 。 

。 成 本 问题 。 与 MBD 技术 关联 的 成 本 效率 是 很 重要 的 ， 其 中 成 本 问题 包括 
诸如 授权 模型 和 有 足够 的 支持 和 培训 。 

。 性 能 和 可 拓展 性 。 为 了 进一步 支持 高 效 的 研发 ， 使 用 的 模型 和 工具 需要 
提供 理想 的 性 能 。 模 型 装配 时 间 和 执行 时 间 必 须 是 合理 的 。 在 这 里 要 提 及 的 是 ， 
必须 平衡 结果 的 准确 性 和 结果 速度 之 间 的 折 中 。 对 于 指定 的 MBD 任务 来 说 ， 该 
工具 必须 能 够 处 理 所 需 规模 的 系统 。 

。 可 靠 性 。 使 用 了 MBD， 系 统 设计 将 依靠 工具 方面 实施 的 不 同 技术 。 然 
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后 ,对 这 些 工具 和 技术 来 说 ， 它 们 自己 的 可 靠 性 就 变 得 重要 。 可 靠 性 有 几 个 方 
面 : 包括 多 用 户 的 可 用 性 、 用 户 的 参考 、 指 导 原 则 和 与 工具 关联 的 方法 论 。 可 徘 
性 的 一 个 相关 方面 是 对 提供 工具 的 公司 的 信任 和 依赖 。 对 关键 可 靠 性 应 用 来 说 ， 
对 相关 工具 与 它们 的 模型 操控 的 验证 的 需求 是 增长 的 。 为 了 达到 这 些 目 的 ， 如 果 
工具 同时 提供 分 析 、 仿 真 和 真实 环境 的 测试 能 力 ， 并 允许 在 不 同 环境 之 间 进 行 模 
型 行为 对 比 并 支持 模型 验证 的 话 ， 那 将 是 有 益 的 。 为 了 验证 代码 生成 ， 从 模型 到 
代码 的 追踪 ， 且 反之 亦 然 ， 是 非常 重要 的 。 

工艺 流程 需求 包括 : 

。 建 模 语言 。 所 需 性 能 由 建 模范 围 确定 。 它 必须 能 够 以 可 用 的 方式 代表 针 
对 性 的 产品 / 子 系统 的 理想 性 能 、 结 构 和 行为 。 效 能 涉及 机 构 的 期 望 和 经 验 。 例 
如 ， 支 持 相 关 设计 活动 如 分 析 的 需要 ， 在 语言 形式 和 信息 内 容 上 创造 了 额外 的 要 
求 。 此 外 ， 也 应 该 支持 支撑 设计 的 模型 部 件 库 。 鉴 于 越 来 越 复杂 的 系统 ， 系 统 的 
模型 也 会 变 得 更 大 。 对 模型 的 结构 化 支持 也 因而 非常 重要 。 

© 交流 。 对 执行 运行 和 结果 的 可 视 化 支持 是 主要 的 。 提 供 不 同 的 看 法 和 展 
现 模型 的 不 同方 面 ， 促 进 了 多 学 科 专 家 之 间 的 交流 。 

。 分 析 。 对 于 一 个 给 定 的 范围 ，MBD 技术 需要 支持 所 需 分 析 类 型 的 支持 
(例如 ， 故 障 传播 或 者 动力 消耗 ) 一 一 优先 考虑 通过 模拟 和 分 析 方法 。 由 于 分 析 
是 在 模型 级 上 进行 的 ， 所 以 模型 级 分 析 (静态 和 动态 ) 能 力 应 由 工具 提供 。 包 
括 实时 模拟 在 内 的 分 析 ， 对 代码 生成 、 仿 真 平台 以 及 它 的 接口 能 力 有 特殊 要 求 。 

。 综合 。 从 生成 的 代码 和 文档 来 看 ， 提 供 综合 可 以 说 是 非常 有 用 的 ， 因 为 
它 减少 了 人 工 的 翻译 及 可 能 的 人 工 失 误 。 对 综合 的 要 求 包括 : 可 修整 性 、 透 明度 
和 验证 性 ( 见 可 靠 性 )。 可 修整 性 涉及 的 问题 ， 如 优化 ( 例如， 内存、 性 能 或 代 
码 生 成 的 准确 性 ) 、 生 成 代码 的 风格 和 命名 规范 。 透 明 性 意味 着 综合 规则 应 该 被 
存档 记录 。 所 涉及 的 转换 适应 可 以 间接 实现 ， 它 是 通过 调整 指令 或 通过 直接 授权 
于 用 户 访问 底层 模型 转换 规则 来 实现 的 。 

。 自动 化 。 支 持 分 析 自 动 化 或 者 其 他 工具 设备 的 需求 ， 包 括 比如 提供 一 个 
开放 的 API 和 脚本 编写 设施 ， 通 过 它 可 以 描述 自动 化 活动 。 对 于 先进 的 自动 化 ， 
脚本 编写 可 能 变 得 很 困难 ， 且 或 许 它 本 身 就 需要 基于 模型 的 支撑 一 一 对 交流 、 记 
录 、 分 析 与 综合 的 支持 。 

管理 流程 需求 包括 : 

。 多 切面 和 模型 集成 。 提 供 专 用 系统 的 切面 提升 了 复杂 性 管理 。 文 持 多 切 
面 的 要 求 与 管理 切面 集成 的 要 求 联系 起 来 。 根 据 特 定 的 情况 ， 这 可 能 会 导致 对 开 
发 者 和 工具 之 间 的 转换 模型 的 需求 ， 包 括 改变 它们 的 再 现 和 内 容 ， 以 及 更 紧密 的 
工具 集成 ， 例 如 通过 另 一 个 工具 来 访问 一 个 工具 。 
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。 模型 管理 。 适 当 的 信息 管理 对 复杂 系统 是 至 关 重 要 的 ， 它 提供 的 服务 有 : 
文 持 版 本 管理 、 定 义 产 品 的 变种 、 处 理 模 型 之 间 的 依赖 关系 、 一 致 性 管理 以 及 所 
有 相关 设计 实体 之 间 的 可 追溯 性 。 

。 产品 结构 定义 。 与 以 上 观点 密切 相关 的 是 ， 为 了 信息 化 管理 的 目的 ， 存 
在 需要 定义 产品 是 什么 〈 例 如 ， 不 同 技术 的 功能 与 组 件 ) 、 它 如 何 与 支持 信息 如 
文档 、 工 作 流 程 和 用 户 相 关 。 获 得 的 定义 通常 被 称 为 信息 模型 。 这 是 非常 可 取 
的 ， 因 为 切面 模型 与 信息 模型 之 间 具 有 良好 定义 的 连接 。 

© 支持 并 行 和 分 布 式 工 程 。 这 种 类 型 的 文 持 包括 同时 访问 的 能 力 和 在 机 构 
之 间 共 享 提供 的 服务 。 这 将 把 衍生 的 需求 施加 到 信息 管理 与 并 工具 的 基础 设施 
上 面 。 

。 工作 流程 管理 。 与 先前 观点 有 关 的 是 ， 在 开发 人 员 之 间 实 施 和 上 自动 化 一 
些 工 作 流 程 是 期 望 的 ， 例 如 ， 当 设计 实体 的 状态 已 经 改变 ， 就 会 通过 事件 通知 来 


告知 。 























10.6.4 Xİ MBD 常见 的 反对 声音 及 缺陷 


关于 质疑 采用 MBD 的 其 他 有 用 的 论点 介绍 以 下 : 

。 工具 太 昂贵 了 ! 这 就 是 为 什么 为 了 给 定 的 日 的 而 决定 工具 的 适应 性 ， 如 
当 MBD 有 回报 时 它 才 可 被 引入 ， 必 须 考虑 到 MBD 的 目标 、 驱 动因 素 和 内 容 。 

。 模型 很 难 发 展 、 理 解 ， 经 不 起 分 析 和 综合 ! 这 可 能 是 真 的 。 然 而 ， 这 也 
许 反映 出 MBD 技术 的 错误 匹配 。 错 误 匹 配 可 能 与 MBD 使 用 背景 有 关 ， 包 括 可 能 
是 训练 用 户 不 足 ， 或 者 仅仅 是 因为 选择 的 MBD 技术 是 不 成 熟 的 。 

。 用 户 说 :“ 我 没有 时 间 建 模 或 记录 档案 ， 因 为 我 需要 工作 。” 这 人 句 话 可 以 
与 上 述 不 匹配 联系 起 来 ， 这 也 /或 阐明 了 用 一 个 与 工作 实践 对 齐 的 、 合 适 流程 来 
支持 MBD 的 必要 性 。 对 于 一 个 有 价值 的 MBD 方法 来 说 ， 它 应 该 可 以 拓展 有 关 建 
模 和 记录 需求 的 理性 争议 。 

。 模型 从 来 没有 捕捉 到 现实 ,何必 (引进 MBD) Yer 根据 经 验 可 以 很 好 地 
证 明 ， 模 型 可 以 研发 用 于 多 种 用 途 来 充分 捕 提 现实 。 然 而 ， 开 发 模型 是 昂贵 的 ， 
所 以 建 模 工作 必须 聚焦 ， 且 技术 必须 匹配 。 

。 MBD 恰好 是 生成 代码 。 还 有 MBD 的 许多 其 他 方面 。 对 于 OEM, MIRA 
式 系 统 规范 过 渡 到 实际 执行 是 一 个 大 的 步骤 ， 且 具有 许多 含义 ， 包 括 和 车载 软件 的 
维护 和 可 能 的 更 大 责任 。 男 一 方面 ， 这 也 使 OEM 更 好 控制 汽车 至 关 重 要 的 功能 。 

。 代码 生成 器 可 以 被 信任 吗 ? 根据 模型 的 代码 生成 器 已 经 遇 到 阻力 ， 就 像 
几 十 年 前 从 集成 过 渡 到 高 级 编程 语言 那样 。 其 基本 思想 是 相同 的 一 一 它们 为 设计 
人 员 提 供 了 更 强大 的 工具 ， 从 而 为 他 们 减少 了 不 必要 的 细节 。 之 前 提出 的 担忧， 
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就 是 编译 央 是 否 能 够 产生 高 效率 和 可 秆 的 编码 。 现 在 有 时 会 出 现 同样 的 担忧 ， 就 
是 根据 模型 的 代码 生成 。 实 施 的 差距 不 容 小 鹿 ， 但 是 这 并 不 意味 着 编译 器 和 代码 
生成 器 工作 不 称职 。 所 需 的 品质 包括 生成 代码 的 性 能 也 是 相对 于 应 用 代码 生成 的 
域 而 言 的 。 生 成 的 代码 已 经 用 于 汽车 甚至 飞机 上 。 

。 对 模型 和 工具 的 过 度 信任 。 这 是 一 个 来 自 现实 的 常见 缺陷 和 教训 ， 这 个 
应 该 在 使 用 MBD 的 时 候 作为 一 般 忠 告 来 考虑 。 分 析 仅仅 像 模型 一 样 好 : “进来 
时 如 果 是 垃圾 ， 出 来 也 会 是 垃圾 ”。 模 型 验证 和 设计 师 的 经 验 是 MBD 非常 重要 
的 一 部 分 。 毫 无 疑问 ， 要 保持 一 定 的 批判 态度 和 持续 检查 模型 和 分 析 结 果 的 可 
信人 性 。 

e 太 详 细 的 模型 。 这 也 是 一 个 来 自 实际 的 重要 教训 ， 且 这 个 也 应 该 在 使 用 
MBD 的 时 候 作 为 一 般 忠告 来 考虑 。 需 要 经 验 来 判断 所 需 的 详细 程度 一 一 再 一 次 
强调 工作 必须 集中 。 在 20 世纪 80 年 代 和 90 年 代 信 息 建 模 的 过 程 中 ， 在 大 多 数 
情况 下 设置 的 范围 过 于 广泛 。 模 型 中 的 每 一 个 东西 包含 太 多 细节 将 导致 极其 复杂 
的 模型 ， 因 而 就 没有 一 个 清晰 的 思路 针对 使 用 模型 来 支持 研发 。 

。 通信 10 年 前 就 走 进 了 UML (统一 建 模 语言 ) 的 陷阱 一 一 汽车 行业 现在 
正面 临 同 样 的 问题 ? 希望 不 是 这 样 ， 但 答案 不 明显 ! 许多 心血 都 倾注 于 对 UML 
的 调整 ， 从 而 改善 其 限制 ， 例 如 ， 改 进 语义 ， 并 将 它 与 能 入 式 系统 其 他 所 需 模型 
集成 到 一 起 。 然 而 ，UML 仍然 是 一 个 非常 复杂 的 结构 ， 且 使 用 的 配置 文件 产生 
了 过 多 的 区 域 性 语言 ， 这 将 妨碍 UML 成 为 一 个 标准 。UML 仍然 需要 证 明 它 在 传 
统领 域 之 外 。 


























10.7 结论 





汽车 敌人 式 系统 正 变 得 越 来 越 复杂 ， 具 有 高 质量 和 功能 的 期 望 ， 是 安全 和 成 
本 的 关键 。 其 中 涉及 的 技术 也 越 来 越 成 熟 和 标准 化 。 因 此 为 汽车 舰 入 式 系 统 引 入 
MBD 存在 强大 的 驱动 力 ， 从 而 提高 开发 效率 和 效益 。 

本 章 提 供 了 一 个 框架 ， 以 促使 推理 和 理解 MBD。 尽 管 MBD 不 是 灵丹妙药 ， 
但 是 它 可 以 通过 在 交流 、 记 录 、 分 析 和 设计 综合 方面 提供 支持 ,来 帮助 设计 师 。 

众多 的 能 人 式 系 统 MBD 技术 对 开发 者 们 来 说 是 可 用 的 。 这 些 技 术 的 案例 包 
括 建 模 语 言 、 框 架 、 模 型 转换 、 交 换 格 式 、 分 析 与 综合 技术 和 工具 。 引 进 MBD 
意味 着 引进 相当 复杂 的 工具 ， 其 目的 是 为 了 处 理 日 益 复 杂 的 产品 。MBD 可 以 在 
机 构 的 一 个 有 限 部 分 中 或 在 一 个 整体 的 方式 下 ， 用 于 特定 的 设计 任务 ， 并 同时 解 
决 技术 和 管理 流程 。 一 个 成 功 的 应 用 需要 仔细 考虑 环境 要 求 和 MBD 的 技术 限制 。 
一 个 特殊 的 关注 点 就 是 集成 和 信息 管理 一 一 支持 使 用 许多 类 型 模型 和 信息 ， 它 们 
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在 研发 汽车 能 入 式 系统 中 都 是 需要 的 。 此 外 ， 这 些 工 具 的 使 用 需要 得 到 适合 流程 
和 指南 支持 ， 因 为 它们 描述 了 技术 是 如 何 使 用 的 。 

一 种 挑战 就 是 正确 地 将 舰 入 式 系统 与 汽车 机 械 工程 连接 到 一 起 。 虽 然 在 很 大 
程度 上 来 讲 ， 这 是 一 个 机 构 和 文化 问题 ,但 当今 的 支持 工具 和 技术 既 可 以 机 械 工 
程 的 MBD 为 重点 ， 或 以 嵌入 式 系 统 工 程 的 某 些 方面 为 重点 ， 因 而 产生 了 研究 方 
法 论 和 系统 建 模 ， 以 填补 差距 的 需求 。 峙 入 式 系统 与 它们 的 环境 紧密 地 交织 在 一 
起 ， 因 而 它们 也 需要 与 舱 入 式 系统 一 起 建 模 与 分 析 。 该 环境 包含 其 他 般 入 式 系 
统 、 连 续 时 间 系 统 以 及 人 类 。 结 合 抽象 的 人 类 行为 显然 是 一 个 挑战 。HMI (人 机 
界面 ) 的 区 域 需要 进一步 引起 重视 ， 以 支持 开发 人 员 的 创造 力 和 可 视 化 复杂 系 
统 ; 需要 人 机 界面 的 专家 参与 工具 开发 和 研究 工作 。 

MBD 的 使 用 必须 与 流程 、 机 构 和 产品 架构 的 进步 携手 并 进 ， 并 沿 着 改善 汽 
车 工业 处 理 角 入 式 系统 能 力 的 道路 上 前 进 。 机 械 工程 上 的 MBD 比喻 是 诱 人 的 。 
随 着 CAD 的 出 现 (20 世纪 60 年 代 早期 )， 机 械 和 硬件 工程 领先 于 般 入 式 系统 的 
工具 和 方法 。 然 而 ， 机 械 工 程 中 的 MBD 仍 在 不 断 发 展 ， 这 看 起 来 似乎 有 共同 趋 
势 和 利益 ,包括 捕捉 设计 理念 、 采 用 抽象 的 功能 、 简 化 /提高 信息 管理 和 改进 系 
统 分 析 的 愿望 。 

当前 MBD 技术 和 方法 的 局 限 性 正 受到 强烈 关注 。 需 要 学 术 界 和 工业 界 之 间 
以 及 学 术 团体 之 间 的 连续 的 、 改 进 的 互动 ， 以 解决 系统 级 的 MBD 挑战 。MBD 技 
术 将 为 汽车 髋 入 式 系 统 的 发 展 发 挥 着 越 来 越 重要 的 作用 。 
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第 四 部 分 





验证 、 测 试 和 定时 分 析 





第 11 章 汽车 控制 软件 测试 





11.1 引言 


11.1.1 动态 测试 


“动态 测试 ”( 简称 为 测试 ) 是 软件 重要 分 析 质 量 保证 技术 之 一 ， 同 时 它 是 
最 基本 的 、 肯 定 也 是 最 常用 的 质量 保证 形式 :2] 。 在 工程 实践 中 ， 它 也 是 唯一 
一 种 允许 充分 考虑 软件 系统 (例如 ， 代 码 生 成 、 编 译 、 链 接 器 、 运 行 系统 和 目 
标 硬 件 ) 实际 开发 和 操作 环境 的 方法 。 此 外 ， 系 统 的 动态 性 能 (例如 运行 时 行 
为 、 目 标 系 统 的 计算 精度 ) 也 可 以 被 检测 [ss95] 。 动 态 测试 是 用 于 确保 汽车 控制 
质量 的 最 重要 和 最 普遍 的 方法 ， 也 是 软件 和 系统 开发 的 一 个 必要 组 成 部 分 。 将 被 
检测 的 工件 通常 被 称 为 “测试 对 象 ” ”或 “测试 物品 ”。 根 据 参考 文献 [ Gri88、 
ISO015497 、IEFE 610. 12 和 TAV92] ,动态 测试 被 定义 为 在 确定 的 环境 之 下 采用 
选 定 的 测试 输入 序列 ， 在 计算 机 上 运行 “测试 对 象 "” ， 达 到 检测 测试 对 象 的 动态 
行为 是 否 符合 预期 结果 的 目的 。 
根据 Liggesmeyer! 92] 的 观点 ， 动 态 检测 不 同 于 其 他 分 析 质 量 保证 技术 ， 它 
具有 以 下 特征 : 

© 测试 对 象 是 动态 执行 序列 测试 输入 。 

。 测试 对 象 的 检测 是 在 它 的 真实 环境 中 或 真实 环境 的 模拟 中 进行 的 。 

。 测试 是 一 个 采样 步 又， 测试 对 象 相对 于 预期 行为 的 正确 性 不 能 通过 数学 
模型 验证 。 

由 于 般 入 式 系统 的 限制 及 特性 ， 这 种 系统 和 它们 的 舰 入 式 软 件 的 测试 在 很 大 
程度 上 不 同 于 行政 管理 的 或 科学 技术 类 软件 的 测试 。 因 此 ， 实 际 可 行 的 测试 方法 
应 该 针对 具体 的 能 入 式 系统 调整 ， 并 且 需 要 解决 时 间 和 系列 化 问题 ， 特 别 是 允许 
依赖 于 时 间 的 测试 方案 设计 。 现 有 其 他 领域 的 测试 方法 在 这 一 领域 内 仅仅 是 有 限 
使 用 。 
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11.1.2 目前 的 做 法 


在 汽车 嵌入 式 系统 中 -05] 质量 保证 的 一 个 核心 就 是 “车 载 测试 ”或 者 “ 道 
路 测试 ” 。 道 路 测试 ， 实 际 上 应 该 被 用 于 校准 控制 参数 ， 并 验证 整 车 ， 但 是 却 常 
被 误 用 作 寻 找 软件 相关 的 规定 、 设 计 与 实施 错误 [5 ] 。 道 路 测试 占用 了 大 量 的 
时 间 和 精力 。 针 对 一 个 单一 的 控制 单元 进行 数 百 万 公里 的 行驶 测试 并 不 是 不 普 
遍 。 此 外 ， 道 路 测试 通常 发 生 在 控制 研发 的 关键 阶段 (就 时 间 而 言 )， 因 为 它们 
通常 在 系统 研发 的 最 后 阶段 进行 。 在 那个 时 候 ， 误 差 修正 的 平均 成 本 已 经 非常 高 
了 。 由 于 相当 大 的 时 间 和 成 本 压力 ， 因 此 通常 要 在 早期 市 场 引 进 和 取得 的 测试 深 
度 之 间 进 行 协调 。 其 结果 造成 甬 入 式 系 统 开发 与 实施 过 程 中 的 错误 被 发 现 得 太 
K, EER THRE RRS 。 

与 道路 测试 相 比 较 ， 在 软件 研发 过 程 中 针对 “软件 系统 测试 ”的 方法 和 步 
又 的 应 用 ， 能 够 更 早 、 更 有 效 地 检测 与 软件 相关 的 差错 。 然 而 ， 这 需要 以 实用 为 
导向 的 、 把 一 般 的 测试 技术 与 方法 改 成 适应 具体 应 用 域 的 测试 技术 和 方法 。 为 了 
确保 高 效率 ， 测 试 应 该 在 研发 过 程 中 进行 ， 而 不 是 仅仅 在 研发 结束 的 时 候 进 行 。 

然而 ,我 们 经 常 可 以 观察 到 的 是 如 今 的 汽车 检测 控制 软件 的 测试 遵循 “ 直 
觉 的 方法 ”， 这 导致 了 测试 差距 和 测试 元 余 。 

因为 在 实践 中 不 可 能 做 到 详尽 的 测试 ， 所 以 动态 测试 始终 是 一 个 抽样 步骤 。 
尽 可 能 小 且 尽 可 能 多 地 揭示 测试 对 象 差 错 的 测试 方案 子 集 ， 需 要 从 所 有 可 能 的 测 
试 方案 的 无 限 集合 中 选择 。 如 图 11. 1 所 示 ， 充 足 的 样本 元 素 (测试 方案 ) 的 选 
择 决 定 了 整体 测试 的 内 容 与 质量 。 





























` s … AMAR 

aie So [0 -wus 

00000 

» o’ 

e 

ee 

eo 
a 2 

e e o 





图 11.1 输入 域 、 差 错 和 测试 方案 
在 图 11.1 中 ,测试 对 象 的 输入 域 用 一 个 矩形 黑 框 表示 ， 灰 色 区 域 (如 中 和 
Q) 表示 差错 子 域 。 由 测试 方案 覆盖 的 那 部 分 输入 域 用 圆圈 表示 。 如 果 测 试 方 
案 落 在 灰色 区 域内 (如 由 ) ， 那 么 这 意味 着 它 是 一 个 揭示 差错 的 测试 方案 ， 否 则 
它 是 一 个 不 揭示 差错 的 测试 方案 (如 @)。 
由 于 选择 过 程 具有 特殊 的 意义 ， 所 以 当 设计 足够 多 的 测试 方案 时 ， 存 在 需要 
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支持 测试 者 的 “系统 测试 设计 ”技术 。 应 用 这 些 测试 技术 系统 化 了 测试 方案 的 
选择 ， 并 使 其 易于 理解 与 可 重复 [sim9%] 。 

当 测 试 汽车 控制 软件 时 , “特定 选择 测试 方案 ”是 典型 的 ， 也 就 是 说 测试 方 
案 是 在 没有 (明确 ) 定义 步骤 的 情况 下 确定 的 。 实 际 测试 方案 的 选择 取决 于 测 
试 者 的 经 验 和 专业 技能 ， 且 复制 困难 一 一 就 算 真 的 能 复制 。 选 择 特定 的 方案 一 方 
面 导致 测试 方案 或 多 或 少 有 和 多余 (图 11.1 中 右上 方 )， 另 一 方面 也 导致 了 测试 
差距 (图 11.1 中 左下 方 ) 。 此 外 ,“ 每 次 一 个 单 因素 试验 ”是 典型 的 ， 也 就 是 说 
只 有 单 因 素 变 量 改 变 引 起 实验 结果 变动 (在 图 11.1 中 ,测试 方案 的 布置 就 像 一 
条 线 上 的 珠子 ) 。 作 为 一 项 规则 ， 这 样 不 可 能 对 特定 测试 方案 做 出 有 关 质 量 和 完 
整 性 的 说 明 。 就 测试 方案 的 数量 而 言 ， 它 们 的 差错 检测 等 级 水 平 往往 不 足 。 
那些 有 条 不 亲 、 有 理 有 据 且 在 一 般 软件 工程 中 存在 的 软件 测试 设计 技术 ， 往 
定制 适应 行政 管理 或 科学 的 软件 。 它 们 不 能 充分 适应 汽车 散 入 式 控制 系统 的 细 
， 因 此 ， 它 们 像 上 面 那 样 进行 (技术 ) 转移。 特别 是 测试 方案 的 时 间 因 素 不 
合理 考虑 进来 。 


11.1.3 构造 测试 流程 


测试 大 型 鹏 入 式 汽 车 系统 是 一 项 复杂 的 工作 ， 涉 及 很 多 专家 进行 不 同 水 平 的 
测试 和 在 项 目的 不 同 阶 段 进行 的 测试 活动 。 

为 了 构造 试验 流程 ， 便 于 测试 复杂 系统 ， 测 试 理 论 建立 了 不 同 的 “测试 阶 
段 ”( 通 常 像 选择 的 集成 战略 ) 。 理 论 上 讲 ， 测 试 阶段 包括 单元 测试 、 集 成 测试 
和 系统 测试 。 在 实践 中 情况 更 加 复杂 : 在 整个 项 目 过 程 中 ,不 同 的 测试 人 员 与 测 
试 团队 在 不 同 的 环境 中 、 在 不 同 的 时 间 点 对 大 量 的 工件 进行 测试 。 这 样 的 机 构 因 
素 就 是 引入 “测试 等 级 ”概念 的 原因 。 一 种 测试 等 级 是 将 规划 与 管理 当做 整体 
的 一 组 不 同 活动 的 集合 LEX9] 。 所 以 在 特定 项 目 中 出 现 的 测试 等 级 ,不仅 由 测试 
理论 来 定义 ， 而 且 也 要 由 软件 工程 实践 来 定义 。 所 施加 的 测试 等 级 可 能 在 基于 代 
码 ( 详 见 11.3.1.1 W) 研发 和 基于 模型 (PEIL 11.3.2.1 $) 研发 之 间 有 所 
不 同 。 

通常 每 种 测试 等 级 单独 进行 , 但 要 遵循 指定 的 “测试 活动 ”序列 ， 比 如 
“测试 方案 设计 ”、 测 试 运行 和 测试 评估 ( 详 见 11.2.1 节 )。 这 意味 着 一 大 堆 的 
测试 活动 必须 在 每 一 个 测试 等 级 的 基础 上 进行 。 为 了 方便 高 效率 地 测试 ， 建 议 为 
每 个 测试 等 级 定义 独特 的 目标 ， 并 且 尽 可 能 地 在 所 有 测试 等 级 之 间 重 复 使 用 工件 
和 数据 。 


11.1.4 基于 模型 与 基于 代码 的 测试 
为 了 便于 得 到 高 效 的 测试 流程 ， 有 必要 把 测试 流程 调整 到 适用 整体 开发 流程 
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的 要 求 。 因 此 ， 在 软件 控制 开发 中 应 用 的 “软件 研发 范式 ”大 大 地 影响 了 测试 
流程 。 接 下 来 的 章节 我 们 区 分 以 下 两 种 流行 的 开发 模式 : 

“基于 代码 的 开发 ”这 里 表示 为 经 典 软件 开发 模式 ， 其 构造 的 研发 阶段 一 一 
从 规格 到 设计 、 再 到 实施 ， 区 分 明显 、 易 于 辨认 ， 且 它 的 应 用 程序 尤其 是 编码 是 
手工 的 或 者 基于 文本 ， 而 不 是 基于 模型 。 

与 此 相反 ， 基 于 模型 的 研发 〈 见 第 10 章 ) 聚焦 于 一 个 模型 中 心 并 面向 全 部 
研发 阶段 ， 是 可 执行 的 、 典 型 的 图 形 文件 。 通 常 在 开发 过 程 的 早期 创建 该 模型 ， 
它 包 括 可 以 组 合 模拟 的 三 个 部 分 : 控制 锅 模 型 (或 功能 模型 ) 、 控 制 系统 模型 
(或 车 辆 模型 ) 和 环境 系统 模型 (或 环境 模型 )。 随 着 研发 的 进行 ， 控 制 系统 模 
型 和 环境 模型 将 逐渐 被 真实 的 系统 和 真实 的 环境 所 替代 。 功 能 模型 随时 间 变 化 ， 
通过 人 工 或 自动 编码 ， 最 后 成 为 在 电子 控制 单元 上 实施 上 徐 入 式 软件 的 基础 。 车 辆 
模型 和 环境 模型 称 作 控制 工程 中 的 设备 模型 。 常 用 的 建 模 符号 是 由 商业 建 模 与 仿 
真 软件 包 一 一 Simulink 产品 系列 提供 的 框图 和 扩展 状态 机 [SS 。 

这 些 与 测试 有 关 的 研发 范式 之 间 的 实质 性 差异 ,来 自 测试 过 程 中 必须 考虑 到 
的 测试 对 象 之 间 的 不 同 造成 的 。 在 基于 代码 的 开发 过 程 中 ， 可 以 测试 的 典型 工件 
是 主机 平台 上 的 控制 软件 、 目 标 平台 上 的 控制 软件 和 集成 的 嵌入 式 系统 。 在 基于 
模型 的 研发 过 程 中 ,不同 种 类 的 模型 (例如 设计 模型 、 实 施 模型 ) 可 以 添加 
检测 。 

基于 代码 的 研发 过 程 中 的 测试 被 称 作 “基于 代码 测试 ” ， 而 在 基于 模型 研发 
过 程 中 的 测试 被 称 作 “ 基 于 模型 测试 ”。 

以 下 部 分 打算 介绍 测试 汽车 藤 入 式 系统 中 最 佳 实践 的 一 个 概述 。 因 为 应 用 开 
发 在 汽车 系统 研发 中 起 到 显著 的 作用 ， 所 以 我 们 这 里 重点 讨论 对 系统 应 用 部 分 的 
测试 (S25 ( 见 第 3 章 ) 。 其 他 部 分 如 网 络 功能 也 很 重要 ， 但 在 这 里 不 作 详 细 论述 
( 见 第 12 章 ) 。 第 11. 2 节 中 讨论 主要 测试 活动 和 支持 测试 的 技术 。 第 11. 3 节 介 
绍 测试 如 何 集成 到 基于 模型 和 基于 代码 的 软件 控制 开发 中 。 第 11. 4 节 介 绍 测试 
计划 。 


11.2 测试 活动 和 测试 技术 









































11.2.1 测试 活动 


术语 “测试 ” ， 不 仅 描 述 测试 活动 本 身 ， 而 且 也 描述 测试 设计 和 评估 。 将 测 
试 分 解 为 单个 “测试 活动 "， 形 成 了 系统 测试 的 基础 ， 并 提升 构造 的 步 又 。 这 样 
带 来 了 更 好 的 文档 和 可 追溯 性 [Yes 。 在 文献 中 给 出 的 测试 活动 细 分 是 变化 的 
( 见 参考 文献 【Gri95 、BN03 ] ) ， 但 经 常 可 以 区 分 “中 心 活动 ”和 “ 文 撑 活 动 ”。 


280 


第 11 童 ” 汽 车 控制 软件 测试 eee 


为 了 以 方法 论 的 方式 进行 不 同 的 测试 活动 ， 大 量 的 “测试 技术 ”已 经 开发 出 来 。 

本 节 从 介绍 测试 活动 测试 方案 设计 、 测 试 运行 和 测试 评估 开始 。 然 后 介绍 这 
三 种 测试 活动 的 典型 测试 技术 。 这 里 的 测试 活动 和 测试 技术 暂时 独立 于 具体 的 测 
试 等 级 。 

11.2.1.1 测试 方案 设计 

在 测试 活动 之 中 ， 合 理 的 (就 是 对 误差 敏感 ) 测试 方案 设计 对 于 一 个 值得 
信赖 的 汽车 控制 软件 测试 来 说 ， 是 一 项 最 重要 的 活动 。 

“测试 方案 ”( 图 11.2) 是 一 种 包含 测试 输入 和 期 望 输出 的 有 限 结构 ， 在 确 
定性 转化 系统 中 的 一 对 输入 与 输出 ; 在 确定 性 反应 系统 中 的 一 系列 输入 与 输出 ; 
在 不 确定 反应 系统 中 的 一 棵 树 或 一 张 图 。“ 测 试 套 件 ” 是 一 组 有 限 的 测试 方 
LUP] 。 如 果 测 试 方案 包含 时 间 的 变化 ,那么 它们 被 称 为 “计时 测试 方案 ”; 
如 果 测 试 方案 不 包含 时 间 的 概念 ， 它 们 被 定义 为 “ 非 计 时 测试 方案 ”。 























测试 方案 
测试 输入 Ja el 
、 测试 织 件 
| 


图 11.2 一 个 测试 方案 的 元 素 


因为 穷 举 测试 即使 对 于 小 型 系统 来 说 实际 上 几乎 都 不 可 能 (由 于 组 合 的 原 
因 ) ， 因 此 有 必要 从 可 能 的 测试 方案 中 选择 尽 可 能 小 的 子 集 ， 确 保 测试 对 象 能 够 
进行 尽 可 能 全 面 的 测试 bw"*9] 。 这 一 选择 过 程 造成 了 动态 测试 的 抽样 性 [82 。 
选择 合适 的 样本 〈 即 测试 方案 ) 决定 了 测试 的 范围 和 质量 。 

由 于 测试 方案 设计 的 突出 意义 ， 因 而 在 过 去 开发 了 许多 技术 ， 它 们 为 测试 者 
在 选择 合适 的 测试 方案 提供 了 支持 [YI 。 应 用 这 些 测试 设计 技术 系统 化 了 测试 
方案 的 选择 ， 并 使 它们 具有 可 追溯 性 和 重复 性 [S71 。 

在 下 文中 , “测试 设计 技术 ”代表 了 基于 确定 信息 源 一 一 被 称 作 “ 测 试 基 
础 ”选择 和 /或 设计 测试 方案 的 一 个 标准 化 的 、 但 不 一 定 是 必需 的 正规 技术 。 因 
此 ， 测 试 设 计 技术 包括 了 一 个 合理 的 符号 ， 它 用 于 描述 所 选择 的 测试 方案 。 在 其 
他 方面 ， 可 能 的 测试 基础 包括 需求 规范 、 设 计 模 型 或 者 根据 模型 创建 的 程序 代码 。 

用 于 测试 方案 选择 的 众多 可 以 想象 的 标准 也 同样 适用 于 大 量 现 有 的 测试 设计 
技术 。 对 于 测试 设计 技术 的 分 类 可 以 采用 不 同 的 标准 [899 ie? 50 803, Be98,Co01] 。 
然而 ， 通 常 测试 设计 技术 的 划分 是 根据 测试 方案 选择 中 是 否 考虑 测试 对 象 的 结构 
来 进行 的 。 些 外， 如 果 测 试 基础 存在 一 个 分 类 ， 那 么 可 以 进行 更 细致 的 划分 。 
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如 果 测 试 对 象 的 内 部 结构 与 测试 方案 的 选择 没有 关系 ， 则 该 技术 称 为 “ 功 
能 性 的 ”或 “黑箱 测试 设计 技术 ”; 否则 称 作 “结构 性 的 ”或 “ 白 箱 测试 设计 技 
术 ”。 测 试 步骤 中 如 果 需 要 内 部 结构 的 部 分 知识 ， 则 该 技术 称 为 “ 灰 箱 测试 技术 ”。 

功能 技术 的 目标 就 是 尽 可 能 全 面 地 测试 对 象 的 特定 功能 。 结 构 性 技术 的 目标 
就 是 尽 可 能 多 地 履 盖 待 测试 对 象 的 确定 结构 元 素 。 待 覆盖 的 结构 元 素 可 以 根据 测 
试 对 象 的 控制 流 (控制 流 相关 的 测试 设计 ) 或 数据 流 (数据 流 相 关 的 测试 设计 ) 
来 定义 。 

然而 ， 功 能 技术 与 结构 技术 的 差别 一 一 特别 在 黑箱 技术 中 一 一 不 提供 任何 有 
关 测 试 方案 源 出 于 哪里 的 信息 。 唯 一 的 要 求 是 黑箱 测试 中 的 测试 方案 的 来 源 不 是 
源 自 程序 结构 。 测 试 基础 为 测试 设计 技术 提供 了 进一步 的 分 类 标准 。 

如 果 测 试 方案 源 自 通 常 的 文本 或 者 功能 规定 (根据 测试 对 象 ， 只 有 接口 可 
以 考虑 )， 则 被 称 为 “面向 规定 的 测试 设计 ”。 如 果 把 测试 对 象 的 模型 作为 基础 ， 
则 被 称 为 “面向 模型 的 测试 设计 ”。 最 后 ， 如 果 以 源 代码 作为 测试 的 基础 ， 则 被 
称 为 “面向 代码 的 测试 设计 ”。 

对 不 同 的 测试 设计 技术 的 描述 可 以 在 其 他 人 的 文献 查 到 [9 ,Lig93 ,Bal98, BNOS 。 
由 于 汽车 扔 入 式 系统 的 特征 ， 针 对 控制 软件 开发 的 实用 测试 技术 不 同 于 为 行政 管 
理 或 科学 技术 软件 开发 的 技术 。 因 此 ， 实际 的 测试 设计 技术 应 该 根据 这 些 细节 进 
行 调整 ， 并 需要 解决 时 间 和 序列 问题 。 特 别 的 ， 他 们 必须 允许 描述 定时 测试 方 
案 。 现 有 的 其 他 领域 的 测试 方法 在 这 方面 只 有 有 限 的 用 途 。 

因为 单一 的 测试 设计 技术 对 于 全 面 的 汽车 控制 软件 的 测试 来 说 是 不 够 的 ， 所 
以 互相 补充 的 测试 技术 必须 适当 地 组 合 起 来 。 因 此 ， 为 了 确定 测试 方案 ， 通 常 要 
查询 不 同 来 源 的 信息 (文本 规范 、 设 计 模 型 ， 有 必要 的 话 还 需要 早期 模型 或 单 
独 的 测试 模型 )， 并 且 把 功能 技术 和 结构 技术 结合 起 来 。 不 同 的 测试 设计 技术 的 
组 合 被 称 为 “测试 方法 ”。 通 常 ， 它 们 不 仅 包 括 测试 设计 技术 ， 而 且 包 括 用 于 其 
他 测试 活动 的 技术 ， 例 如 测试 评估 。 

11.2.1.2 测试 运行 

在 “测试 运行 ”范围 内 ， 测 试 对 象 受到 测试 输入 〈 在 测试 方案 中 建立 的 ) 
激励 。 记 录 系 统 对 此 的 反应 。 

由 于 汽车 软件 的 工业 研发 并 不 是 在 特定 的 基础 上 发 生 的 ， 而 是 发 生 在 不 同 的 
阶段 ， 不 仅仅 是 最 后 的 产品 ， 因 此 将 在 伴随 研发 的 测试 流程 中 测试 ， 而 且 是 其 不 
同 的 初级 阶段 (模型 演化 阶段 ) 。 在 基于 模型 的 开发 流程 背景 中 ， 出 现 了 如 起 初 
的 汽车 控制 软件 模型 (可 能 是 变化 的 抽象 表示 形式 : 设计 模型 、 实 施 模型 ) 。 它 
然后 被 翻译 成 程序 代码 〈 可 能 分 为 几 个 阶段 : 浮 点 /固定 点 代码 ) ， 然 后 被 加 载 
到 相应 的 目标 硬件 【可 能 也 分 为 几 个 阶段 : 原型 人 硬件、 产品 电子 控制 单元 
(ECU)] 上 。 每 一 个 开发 的 工件 (表达 形式 ) 都 可 以 进行 测试 。 软 件 的 可 执行 
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模型 测试 被 称 为 “模型 测试 ”或 “模型 等 级 测试 ” 。 由 此 产生 的 在 研发 计算 机 的 
软件 测试 被 称 为 “软件 测试 ”( 严 格 意义 的 ) 或 “软件 等 级 测试 ” 。 而 软件 在 目 
标 系 统 上 的 测试 被 称 为 “能 人 式 系统 测试 ”或 “系统 等 级 测试 ” 。 在 传统 的 、 基 
于 代码 的 开发 过 程 中 ， 模 型 测试 并 不 适用 。 

如 果 正 在 测试 的 测试 对 象 多 于 一 个 表达 形式 ， 那 么 早期 的 测试 结果 可 以 作为 
“测试 基准 ”， 也 就 是 男 一 种 表现 形式 的 测试 的 期 望 输出 。 这 样 的 “对 比 测试 ” 
被 称 为 “ 背 对 背 测 试 ” 。 对 比 测试 的 另 一 种 变 体 是 “回归 测试 ” ， 即 两 种 不 同 的 
形式 分 别 和 测试 对 象 原来 的 表现 形式 进行 对 比 。 

对 于 测试 运行 ， 我 们 通常 需要 一 个 “测试 环境 ”， 确 保有 测试 输入 的 测试 对 
象 的 馈 和 人 和 系统 反应 的 记录 得 以 进行 。 后 者 需要 持续 保存 ， 至 少 要 等 到 测试 评 
估 。 根 据 测试 对 象 的 类 型 和 使 用 的 运行 环境 ， 可 以 为 测试 环境 采取 不 同 的 形式 : 
在 基于 代码 软件 测试 的 情况 下 采取 “存根 ”和 “了 驱动 因素 ”， 在 基于 模型 级 测试 
情况 下 采用 “测试 线束 ”。 

根据 测试 执行 中 是 否 包括 设备 或 设备 模型 有 人 提出 了 “闭环 测试 ”或 
“ 开 环 测试 ” 。 在 一 个 闭环 测试 执行 中 ， 设 备 或 设备 模型 的 相关 部 分 必须 集成 到 
测试 环境 中 。 在 闭环 控制 组 件 中 ， 因 此 可 以 反馈 ， 如 实际 值 。 

为 了 测量 在 测试 运行 中 的 结构 测试 的 有 效 范围 ，“ 用 仪器 装备 测试 对 象 ” 
(模型 或 源 代码 ) 是 有 必要 的 。 

支持 测试 执行 的 测试 技术 被 称 为 “测试 执行 技术 ”。 

11.2.1.3 测试 评估 

在 测试 评估 范围 中 ， 通 过 考虑 定 测试 方案 
义 的 “合格 标准 ”将 系统 反应 与 预期 
行为 进行 比较 。 然 后 把 比较 的 结果 与 
测试 执行 信息 结合 起 来 ， 浓 缩 成 为 一 
个 “测试 判定 ”"， 如 图 11.3 所 示 。 ' O---> mE 


如 果 存 在 一 个 通过 模型 表示 测试 H 
可 以 在 基准 模型 的 帮助 下 ， 评 估 真 实 ee 
系统 的 反应 。 在 这 种 情况 下 ， 在 测试 hae eee 
设计 中 在 没有 明确 先 验 确定 期 望 输出 的 情况 下 ， 也 可 以 进行 测试 评估 。 

系统 反应 和 预期 行为 之 间 的 比较 可 以 不 同 的 方式 进行 ， 最 容易 的 测试 评估 形 
式 是 “人 工 视觉 评估 ”( 通 过 “仔细 观察 ”做 出 评价 ) 。 对 于 这 一 点 ， 记 录 的 系 
统 反应 以 合适 的 方式 处 理 〈 例 如 系统 反应 曲线 ) ， 然 后 提交 给 测试 者 进行 视觉 检 
查 。 人 工 视觉 评估 的 一 种 特殊 情况 是 利用 现实 中 的 照片 或 示意 图 的 “动画 系统 
反应 "[cis'Rck*o] 。 对 于 这 点 ， 测 试 对 象 的 变量 或 状态 就 与 车 辆 动画 的 图 形 和 



























| 测试 输入 | 期 望 输出 | 
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数字 元 素 或 者 可 视 化 面板 耦合 在 一 起 。 通 过 这 种 方式 ， 可 以 描绘 出 图 形 ， 例 如 速 
度 、 旋 转角 度 等 车 辆 变量 。 此 外 ， 矢 量变 量 可 以 通过 渐进 淡出 相应 的 矢量 箭头 来 
实现 可 视 化 。 

每 当 我 们 直接 测试 汽车 或 者 如 果 需 要 非 视觉 人 类 感官 知觉 来 定性 地 评价 系统 
反应 时 ,我们 总 使 用 “人 工 的 非 视觉 评估 ”。 特 别 是 在 舒适 性 评价 中 采用 这 种 测 
试 ， 例 如 对 自 适应 巡航 控制 系统 的 加 速 行为 的 评估 。 在 口语 中 ， 人 工 非 视觉 评估 
也 被 称 为 “乘坐 舒适 性 测试 ”。 

当 没 有 自动 生成 可 用 的 预期 输出 或 参考 输出 ， 或 者 所 分 析 的 系统 反应 过 于 复 
杂 难 以 自动 做 出 系统 评估 时 ， 就 需要 用 到 人 工 评估 。 人 工 评估 的 缺点 是 出 错 率 
高 ， 而 且 需 要 花费 大 量 的 时 间 ， 尤 其 对 大 型 测试 套件 。 

如 果 通 过 布尔 计算 值 可 以 判断 系统 反应 的 正确 性 ， 或 者 如 果 使 用 集成 到 运行 
测试 环境 中 的 “看 门 狗 ”检查 ， 那 么 测试 评估 可 以 简化 成 计算 逻辑 预测 值 一 — 
使 用 看 门 狗 的 输出 信号 。 这 就 意味 着 系统 可 以 通过 评估 看 门 狗 来 实现 自动 测试 评 
估 。 对 于 这 点 ， 可 以 监测 例如 控制 器 的 特征 或 动态 信号 边界 。 举 例 可 以 在 参考 文 
献 中 找到 [CH98 ,Rau02 ] 

虽然 不 定时 测试 方案 中 系统 反应 与 预期 行为 的 比较 是 相对 简单 的 ， 但 是 在 定 
时 测试 方案 中 ， 我 们 必须 把 以 输出 时 间 序列 形式 表示 的 系统 反应 和 期 望 行为 或 和 
以 参考 时 间 序列 形式 表示 的 参考 值 进行 对 比 。 接 着 测试 评估 问题 可 以 简化 为 系统 
反应 信号 (时 间 序 列 ) 与 参考 信号 对 应 数据 或 预期 输出 数据 之 间 的 鲁 棒 信 号 比较 。 

此 外 ， 在 测试 评估 环境 中 ， 有 必要 决定 测试 对 象 的 行为 是 否认 为 正确 或 被 拒 
绝 是 不 正确 的 。 在 这 里 ， 评 估 的 结果 被 分 为 三 类 :; “通过 ”“ 失 败 ”或 “不 确 
定 ”( 交 通 灯 评 佑 ) 。 结 合 测试 执行 的 状态 (分 为 “错误 ”和 “未 定 ”") ， 测 试 结 
论 就 证 生 了 。 根 据 测试 执行 和 测试 评估 ， 既 可 以 人 工 也 可 以 自动 执行 结论 信息 。 
在 实践 中 ， 经 常 存在 自动 化 预 评估 与 人 工 审核 相 结合 的 形式 ， 其 目的 在 于 将 测试 
的 责任 权 归 于 测试 者 。 

此 外 ， 在 测试 评估 中 ， 核 查 建立 的 测试 对 象 和 测试 标准 在 测试 中 是 否 达 到 所 
需 的 要 求 程度 是 很 有 必要 的 。 在 功能 性 测试 中 ， 可 以 确定 和 分 析 比如 达到 的 
“要 求 覆 盖 率 ”或 “数据 范围 覆盖 率 "， 或 在 结构 测试 中 ， 可 以 确定 和 分 析 达 到 
的 “结构 模型 或 代码 覆盖 率 "。 如 果 达 到 的 覆盖 度 不 足 ， 那 么 有 必要 分 析 原 因 ， 
且 要 进一步 补充 测试 方案 。 

支撑 测试 评估 的 测试 技术 被 称 为 “测试 评估 技术 ” ， 将 在 下 面 介绍 。 
11.2.2 汽车 控制 软件 中 典型 的 测试 设计 技术 

下 面 将 介绍 适应 测试 对 象 特殊 性 的 一 种 功能 性 测试 设计 技术 和 一 种 结构 性 测 
试 设计 技术 。 


284 




















HL 汽车 控制 软件 测试 eee 


11.2.2.1 功能 性 测试 设计 : 赔 入 式 系统 的 分 类 树 方法 CTMemp 

嵌入 式 系统 的 分 类 树 方法 (CTMpyp ) ( 以 前 称 作 CTM/ES) [CDF +99 ,Con04a,Con04b, CK06 | 
是 分 类 树 理论 的 一 种 延伸 :ss93] ， 该 方法 提供 了 一 种 功能 测试 设计 技术 一 一 基于 
功能 规定 和 测试 对 象 的 接口 描述 以 及 通过 每 个 输入 逐步 定义 的 抽象 时 间 序 列 对 定 
时 测试 方案 的 全 面 图 形 描述 。 

基于 测试 对 象 的 接口 描述 ,测试 对 象 的 输入 域 被 分 成 不 同 的 区 域 一 一 通常 与 
各 种 输入 匹配 。 不 同 的 分 区 被 称 为 “分 类 ”， 可 以 细 分 为 (测试 输入 数据 ) 等 效 
类 别 。 最 后 ， 选 择 输入 数据 分 类 中 的 不 同 组 合 ， 并 编排 成 为 “测试 序列 ”。 

为 了 说 明 问题 ， 使 用 分 析 汽 车 踏板 在 车 中 位 置 的 一 个 简化 特征 。 这 种 功能 可 
以 被 作为 不 同 底盘 控制 系统 的 预 处 理 部 分 。 脚 踏板 解释 (PedInt) 组 件 通过 使 用 
实际 车 速 (V__act) 作为 动力 传动 系统 和 制 动 的 理想 转 矩 (T des Drive, T 
des ”Brake) ， 以 此 指示 当前 归 一 化 的 加 速 踏板 和 制 动 踏板 位 置 ( 详 见 参考 文献 
[Hot97] ) 。 此 外 ， 计 算 用 来 指示 踏板 是 否 被 踩 下 的 两 个 踏板 〈 加 速 踏板 和 制 动 
踏板 ) 位 置 标志 。 

表 11. 1 总 结 了 对 踏板 解释 (PedInt) 组 件 相 关 的 软件 要 求 。 出 于 以 下 考虑 ， 
应 该 测试 这 些 决 定 两 个 标志 计算 的 踏板 解释 (PedInt) 的 子 功能 ， 即 编号 为 SR - 
PI -01. x 的 所 有 要 求 。 

表 11.1 PedInt 的 软件 要 求 规范 (摘录 ) 















































编号 说 WH 
省 板 激 活 识 别 
SR - PI -01 如 果 加 速 踏板 或 制 动 踏板 压 下 超过 某 一 阔 值 ， 那 么 就 用 踏板 指定 的 
二 进 制 信号 表示 
制 动 踏板 激活 识别 
SR -PI-O1. 1 如 果 制 动 踏板 压 下 超过 某 个 阔 值 一 ped _min， 那 么 制 动 踏板 标志 











设 为 1， 否 则 为 0 
制 动 踏板 激活 迟 沸 行 为 

在 制 动 踏板 激活 识别 过 程 中 不 允许 出 现 迟 滞 行 为 
加 速 踏板 激活 识别 
SR -PI-01.3 当 加 速 踏板 压 下 超过 某 个 净值 
为 1， 和 否则 为 0 

加 速 踏板 激活 迟 沸 








SR-PI-01.2 




















ped _min， 那 么 加 速 踏板 标志 设 

















TH 
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hens 加 速 踏板 激活 识别 过 程 中 不 允许 出 现 迟滞 行为 
踏板 位 置 说 明 
SR_PI_02 加 速 踏板 和 制 动 踏板 的 归 一 化 位 置 应 该 解释 为 合适 的 转 矩 。 同 时 考 
虑 舒适 性 和 油耗 
SR -PI-02. 1 制 动 踏板 位 置 解 释 
SR -PI-02.2 加 速 踏板 位 置 解释 
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作为 第 一 步 ， 应 当 决 定 与 测试 相关 的 接口 。 

假设 一 个 测试 对 象 有 个 输入 和 m 个 输出 。 然 后 ,测试 对 象 的 输入 接口 1 用 
输入 变量 i; (=1，…，Pzm) 来 表示 ,输出 接口 0 用 o (j=1,，…，m) RER, 
为 了 测试 目标 对 象 ， 有 效 测 试 接口 的 每 个 输入 变量 都 必须 用 一 个 定时 信号 来 触 
发 ， 也 就 是 一 个 数据 时 间 序 列 来 触发 。 输 出 变量 必须 记录 下 来 。 这 样 ， 测 试 接口 
LUO 决定 了 属于 测试 对 象 的 “测试 方案 标志 ”。 

图 11. 4 表示 的 是 一 个 PedInt 组 件 的 Simulinkt 汶 模型 ， 在 下 面 的 案例 中 把 它 
作为 测试 对 象 ; 表 11. 2 描述 了 它 的 测试 接口 1 U0。 

这 样 ，PedInt 组 件 测 试 的 符号 表示 如 下 : 












































I:phi Acc* ,phi Brake * ; Time—R1[0,100 ] 
v_act*; Time—RI| - 10,100] 
O:T des Drive * ,T des Brake * : Time—R 
AccPedal * , BrakePedal * : Time— {0,1} 
#11.2 PedInt 的 接口 说 明 
变量 o 单位 变化 范围 数据 类 型 
v_ act 车 速 m/s [ -10, 70] 实 值 
phi _ Brake % [0, 100] 实 值 
phi Ace % [0, 100] 实 值 
T_ des _ Drive Nm 实 值 
T _ des _ Brake Nm 实 值 
AccPedal 一 10, 1} 布尔 代数 值 
BrakePedal 一 10, 1} 布尔 代数 值 





























个 由 许可 范围 内 个 不 同 的 输入 信和 号 组 
is BALI saan 地 、 完 全 分 割 成 输入 等 效 类 一 一 用 于 测试 目的 、 

适用 的 单个 输入 抽象 。 分 区 一 一 就 是 通过 分 类 树 方法 的 图 形 表示 ， 目 的 在 于 实现 
单个 “等 效 类 ”的 定义 一 一 就 是 对 于 潜在 错误 的 检测 ， 它 们 表现 均匀 。 也 就 是 
对 于 一 个 类 的 所 有 值 ， 检测 对 象 表现 得 既 正 确 也 错误 〈〔“ 一 致 性 假设 " )。 

启发 式 程序 在 实践 中 尽 可 能 多 接近 这 种 理想 的 划分 方面 ， 已 经 证 明 非 常 成 
功 。 输 入 数据 的 类 型 和 范围 提供 了 第 一 条 有 价值 的 线索 : 其 中 用 创立 的 最 小 值 与 
最 大 值 关 注 实 值 数据 类 型 ， 例 如 ， 可 以 根据 每 一 个 类 别 的 边界 值 、 零 值 和 中 间 点 
创建 一 个 标准 的 划分 。 特 定数 据 类 的 相似 “标准 分 类 ”也 可 以 被 其 他 类 型 的 数 
据 所 采用 [CDS +02, Con04a,Con04b | : 

一 般 情况 下 ， 特 定数 据 类 标准 分 类 对 于 系统 测试 来 说 是 不 够 详尽 的 。 它 们 需 
要 根据 一 致 性 假设 进行 细 化 或 者 人 工 修改 以 解决 划分 问题 。 在 这 方面 ， 规 定 的 质 
量 和 测试 人 员 的 经 验 是 至 关 重 要 的 。 

根据 标准 划分 ， 踏 板 的 位 置 在 0% 至 100% 的 取 值 范围 内 ， 可 以 划分 为 0、 
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phi_Acc[%] 
phiBrake[%] 
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图 11.4 PedInt 组 从 
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0 ~ 100 和 100。 对 于 车 速 ， 分 为 5 个 区 域 : -10、-10 ~0、0、0 ~70 和 70。 

由 于 v_ act 车 速 对 于 测试 PedInt 的 子 功 能 (两 种 标志 都 要 计算 ) 来 说 ， 只 
起 到 次 要 的 作用 ， 所 以 标准 分 类 这 里 未 作 修改 。 另 一 方面 ， 踏 板 被 压 下 只 有 当 它 
高 于 一 个 确定 的 目标 阔 值 ped _ min， 才 会 被 激活 ,评估 踏板 位 置 识 别 踏板 。 
此 踏板 高 于 和 低 于 阔 值 的 位 置 应 该 分 开 考虑 ， 这 是 因为 行为 预计 有 所 不 同 。 分 类 
值 也 已 经 添加 到 精确 的 阔 值 中 。 为 了 保持 分 类 树 的 灵活 性 ， 参 数 名 称 部 分 用 作 分 
类 边界 而 不 是 固定 值 。 踏 板 位 置 的 最 后 结果 分 为 以 下 的 等 级 : 0、0 至 ped min, 
ped min, ped min 至 100、100。 

通过 分 类 树 ， 把 划分 成 类 可 视 化 〈 图 11.5 中 部 ) 。 图 11.5 的 下 部 显示 了 针 
对 各 个 输入 变量 等 效 类 别 如 何 划分 整个 测试 对 象 的 输入 域 。 


oe ramen 测试 对 象 
1 一 一 一 phi Acc < 
æy ast Pedit [——? 

























































phi Brake € ]0,ped_min[ 
phi_Ace € Jped_min,100[ 、、 


v_act =ü N 


























图 11.5 从 测试 接口 到 分 类 树 
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实际 测试 方案 是 在 测试 输入 分 区 的 基础 上 设计 的 。 测 试 方 案 以 综合 、 抽 和 象 的 
方式 描述 了 这 些 输入 随时 间 变 化 的 过 程 。 因 此 分 类 树 的 树叶 用 来 定义 “组 合 表 ” 
中 的 列 。 为 了 抽象 地 表示 测试 方案 ， 它 们 被 分 解 为 单独 的 测试 步 又 。 根 据 它 们 的 
时 间 顺 序 组 成 了 表 的 行 (图 11.6 的 上 部 和 中 部 ) 。 

每 个 测试 步骤 的 测试 输入 通过 组 合 分 类 树 中 的 不 同 分 类 来 定义 。 它 是 通过 标 
记 相 应 组 合 表 中 对 应 的 主 列 中 的 元 素来 完成 的 。 这 就 形成 了 测试 输入 场景 的 序 
列 。 每 一 个 输入 场景 的 历程 可 以 由 组 合 表 中 最 右 列 的 “时 间 标 签 ” 的 注释 来 定 
义 (图 11.6 中 部 ) 。 

















v_act 








分 类 树 















































下 Y 
iwi 个 phi_Brake(%) 100 4 phi_Acc(%) 
g + 测试 输入 
ped_min 十 ped_min 十 
0 时 间 /s l, 时间 /s 
0 0.1 0.2 0.3 0.4 0.5 0.6 0 0.1 0.2 0.3 0.4 0.5 0.6 


图 11.6 定义 测试 序列 


定时 输入 ， 即 在 连续 性 测试 步骤 中 随 着 时 间 的 推移 改变 输入 的 值 ， 可 以 通过 
标记 对 应 于 该 输入 不 同 的 分 类 等 级 来 表示 。 因 此 在 各 自 的 测试 步骤 下 的 测试 输入 
被 限制 在 部 分 间隔 或 标记 分 类 的 单 值 中 。 测 试 步骤 中 被 标记 的 输入 类 别 的 组 合 决 
定 了 各 个 时 间 点 处 测试 对 象 的 输入 〈 图 11.6 中 部 ) 。 

单个 触发 信号 的 中 间 值 通过 连续 性 测试 步 又 标记 之 间 的 过 渡 曲 线 来 定义 。 不 
同 的 过 渡 类 型 代表 不 同 的 信号 类 型 (如 表 11.3 中 的 斜坡 、 阶 跃 、 正 弱 ) 。 通 过 
这 种 方式 ， 触 发 信号 可 以 在 参数 化 、 逐 步 定义 的 函数 的 帮助 下 用 抽象 的 方式 来 描 
述 (图 11.6 中 部 和 下 部 ) 。 
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表 11.3 用 线 型 表示 的 信号 类 型 分 配 
信号 形状 过 渡 类 型 
SER 
REE ra 
正弦 / 样 条 曲线 











进一步 的 测试 序列 可 以 在 分 类 树 下 重复 上 述 过 程 来 描述 。 

对 于 第 一 个 测试 方案 中 的 PedInt 案例 (图 11.7 中 的 测试 方案 所)， 其 目的 是 
调查 识别 带 特定 值 的 踏板 触发 ， 它 们 中 的 每 一 个 值 都 在 一 定 的 时 间 内 保持 恒定 。 

第 二 个 测试 方案 (图 11.7 中 测试 方案 所 ) 检查 测试 对 象 的 滞后 特性 。 为 了 
做 到 这 一 点 ， 踏 板 的 位 置 是 变化 的 一 一 在 整个 值 域内 以 斜坡 的 形式 变化 ， 有 是 每 个 
斜坡 上 下 各 一 次 。 这 时 ， 实 际 类 的 选择 对 v_act 是 任意 的 。 

对 于 不 同 、 但 是 常数 的 踏板 位 置 ， 第 三 个 测试 方案 (图 11.7 中 测试 方案 3) 
以 2s 的 节奏 线性 倾斜 穿 过 了 整个 非 负 速度 区 域 。 

在 此 输入 数据 分 块 的 基础 上 的 测试 方案 定义 其 实 是 一 个 组 合 的 任务 : 选择 输 
人 数据 类 的 不 同 组 合 ， 并 按时 间 排 序 。 

在 测试 方案 的 设计 已 经 完成 之 后 ， 有 必要 检查 它们 是 否 有 足够 的 测试 覆盖 
率 。 在 测试 设计 阶段 ，CTMEms 早 已 允许 在 分 类 树 和 测试 方案 的 基础 上 ， 确 定 不 
同 抽象 覆盖 准则 。 
































































































































Pedlnt 
Iphi_Brake phi_ Acc v_act 
0 -10 
0 a 
von, ]0,ped_minf ] a 
ped_min\ | ped_min\ ]0,70[ 
作者 : M.Conrad 了 ped_ min,100[ ]ped_min,100[ 70 
最 后 一 次 变动 : 25 一 Nov 一 2007 100 100 
14:12:12 
TT 
13: 9 4 
1.4: 63 
1,5; 0.4 
1.6: 0.5 
RREO -滞后 时 间 全 
53: $ e + ++ 
2.3: HENIS 
SLEEP 2 de nad 
3.1: 2 
3.2; 4—delta_t 
3.3: Siet 4 
34: e. ma 
3.5; 8 delta t 
3.6: 8 
3.7: 10—delta t 
3.8: 
3.9; 
3.10; 





图 11.7 PedInt 测试 方案 的 分 类 树 
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“需求 覆盖 分 析 ” 可 以 验证 设计 的 测试 方案 是 否 足 够 覆盖 测试 对 象 所 有 规定 
的 要 求 。 在 分 析 的 过 程 中 ， 有 必要 证 明 每 一 个 要 求 是 通过 至 少 一 个 测试 方案 来 检 
查 ， 且 现 有 的 测试 方案 足够 测试 各 方面 的 要 求 。 
KR 11. 4 为 通过 测试 方案 得 到 的 测试 需求 的 履 盖 情况 。 针 对 SR -PI -01. 1 至 


SR - PI-01.4 的 必要 的 需求 覆盖 已 经 











单独 测试 ， 因 为 它 已 经 隐 含 在 所 有 的 衍生 需求 中 完成 了 测试 。 
表 11.4 PedInt 可 追溯 矩阵 


实现 。 更 高 级 别 的 要 求 SR -PI - 01 不 需要 











SR -PI-01 SR - PI - 01. 1 SR - PI - 01. 2 SR - PI -01.3 SR - PI -01.4 
测试 方案 1 (V) v v 
测试 方案 2 (V) V v 
测试 方案 3 C) 




















Wh, CTMpyp LIF “AAWE” o APEE T EA E AY CE ik 
方案 分 类 树 下 定义 的 所 有 等 价 类 。 这 种 检查 可 以 根据 各 自 的 应 用 情况 、 通 过 使 用 
不 同 的 所 谓 的 “分 类 树 覆 盖 标 准 ”( CTC) KERLEO, LBE +04) 。 

“最 小 标准 ”CTCwN 如 图 11.8 所 示 ， 它 要 求 分 类 树 下 每 一 个 单独 的 类 在 至 
少 一 个 测试 步 中 选择 它 。 最 小 标准 通常 只 要 几 个 测试 序列 就 可 以 完成 。 但 是 错误 
检测 率 非 常 低 。 























… 错误 了 域 
@ … 测试 方案 



































CTCMIN 


图 11.8 最 小 标准 CTCwm 





“最 大 标准 ”CTCyax 如 图 11.9 所 示 ， 它 要 求 每 一 个 可 能 的 类 的 组 合 在 至 少 
一 个 测试 步 中 选择 它 。 贯 彻 最 大 标准 将 会 导致 较 高 的 错误 检测 率 。 然 而 ， 与 这 种 
标准 有 关 的 问题 是 一 种 可 能 的 组 合 爆炸 。 当 类 的 数量 很 多 时 ， 这 是 不 可 能 实 
现 的 。 

“n 类 组 合 标 准 ”CTC, 代 表 一 种 妥协 。 这 里 ， 有 必要 确保 每 一 种 可 能 的 n 类 
组 合 在 至 少 一 个 测试 步 中 选择 得 到 。 例 如 一 个 二 维 的 组 合 CTC，( 图 11.10) 是 
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可 执行 的 。 





… 错误 了 域 
多 WATR 














CTCMAX 


图 11.9 最 大 标准 








… 错误 子 域 
© … 测 试 方案 


























CTC; 


Al 11.10 二 维 组 合 标准 CTC2 








在 测试 设计 过 程 中 必须 以 具体 问题 的 方式 选择 合适 的 标准 。 如 果 预 先 定义 的 
标准 没有 充分 满足 要 求 ， 那 么 需要 添加 额外 的 测试 方案 直到 达到 所 需 的 标准 。 

就 数据 覆盖 范围 而 言 ， 三 种 确定 的 测试 方案 满足 最 小 标准 CTCww ， 如 图 
11.7 所 示 ， 但 是 它们 不 能 满足 更 高 的 要 求 ， 例 如 CTC, RE CTCwax 也 达 不 到 。 
在 实践 中 ， 这 意味 着 需要 添加 更 多 的 测试 方案 ， 直 到 达到 分 类 树 履 盖 标 准 。 

现在 所 取得 的 测试 方案 包含 抽象 的 触发 信息 ， 但 是 只 有 类 而 没有 使 用 具体 的 
数据 。 因 此 在 下 一 步 中 ， 它 们 需要 采用 具体 数字 进行 实例 化 。 

在 组 合 表 中 定义 的 测试 方案 代表 各 个 输入 信号 的 “信号 走廊 ”， 必 须 在 其 中 
找到 实际 的 输入 时 间 序 列 历程 。 等 价 类 的 边界 值 限 制 了 各 个 输入 步骤 中 的 输入 范 
Fl, 11.6 中 下 部 显示 了 这 个 步骤 。 

在 一 致 性 假设 的 基础 上 ， 当 确定 基础 点 的 值 时 ， 可 以 在 标记 的 间隔 内 选择 任 
何 值 。 在 本 案例 的 范围 内 ， 采 用 平均 值 测 试 原理 ， 即 在 每 一 种 情况 下 ， 选 择 等 价 
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类 的 平均 值 作为 测试 数据 (如 图 11.11 所 示 , ped min =5% ) 。 





“测试 输入 
0 0.05 01 015 0.2 025 03 035 04 0.45 0.5 
T T T T T T T T 





phi_Acc(%) phi_Brake(%) 


0 0.05 01 015 02 025 03 035 04 045 0.5 


| | ee 


0 005 01 015 02 025 03 0.35 04 0.45 0.5 








v_act/(km/h) 
SO 















ene 


BrakePed(—) 








Ti I L 1 1 1 
0 005 01 015 02 025 03 035 04 0.45 0.5 


AccPed[ 一 ] 
Oo 
an 








1 1 1 i I I 
0 005 01 015 02 0.25 03 0.35 04 045 0.5 





11.11 PedInt 测试 数据 时 间 序 列 (测试 方案 机 ) 


到 目前 为 止 ， 所 展示 的 就 是 如 何 系统 性 确定 与 紧凑 描述 在 CTMews 的 帮助 下 

针对 汽车 控制 软件 黑箱 测试 方案 。 需 求 履 盖 范围 和 输入 数据 覆盖 范围 (分 类 树 
m) 允许 为 确定 的 测试 方案 进行 质量 评估 。 

CTMawp 可 以 部 署 为 一 个 黑箱 测试 设计 技术 ， 独 立 于 实际 的 开发 过 程 。 其 首 
要 任务 是 对 测试 对 象 行 为 和 接口 的 说 明 。 

11.2.2.2 结构 性 测试 设计 : 决策 覆盖 测试 

在 结构 性 测试 设计 中 ， 测 试 案例 来 源 于 测试 对 象 的 结构 信息 。 在 面向 控制 流 
测试 设计 中 ， 那 些 案例 来 源 于 测试 对 象 的 控制 流 。 在 基于 模型 的 开发 背景 中 ， 可 
以 同时 利用 模型 的 控制 流 和 源 代 码 作 为 它们 的 基础 。 

在 面向 控制 流 的 结构 测试 中 测试 设计 的 目标 是 覆盖 确定 的 若干 项 控制 流程 图 
像 。 如 果 测 试 对 象 是 Simulink/ Stateflow l SSF] 模型， 那么 可 以 借助 模型 覆盖 标准 
“决策 覆盖 ”( 简称 DC) 来 确定 测试 目标 。DC 检查 模型 中 代表 决策 点 的 项 目 内 
容 ， 例 如 开关 模块 和 状态 流 。 对 于 每 一 项 内 容 ， 通 过 该 项 目的 不 同 模拟 路 径 都 要 
被 覆盖 到 [acs+0o] 。 

以 图 11. 12 为 例 ， 该 图 展示 了 为 了 实现 全 面 覆 盖 通 过 开关 模块 的 不 同 的 路 
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径 ， 并列 出 了 测试 目标 。 

在 和 DC 有关 的 PedInt 模型 中 ， 唯 一 的 模块 是 右上 和 角 的 开关 模块 。 如 果 phi _ 
Acc 大 于 或 等 于 70， 则 通过 上 输入 ， 否 则 通过 下 输入 。 为 了 实现 全 面 决策 覆盖 
DC, phi_ Acc 必须 在 某 些 时 刻 小 于 70， 而 在 另外 的 时 刻 大 于 或 等 于 70。 测 试 方 
RH 满足 这 个 条 件 ; 没有 必要 为 了 在 模型 级 上 实现 决策 覆盖 而 添加 结构 性 测试 
方案 。 


























路 径 A 
Inl 测试 对 象 测试 输入 说 叫 
控制 | (路 径 A) PER > BYE 
2 (路 径 B) 控制 < 赣 值 
In2 
路 径 B 开关 A 


\ 当 控制 > 阐 值 时 ， 通 过 In1: 
否则 通过 ln2 





图 11.12 在 模型 级 上 的 DC 一 一 通过 开关 模块 和 测试 对 象 的 路 径 


有 关 代码 级 的 相关 标准 是 “分 支 覆 盖 ” (Cl1)。 基 于 Cl 的 测试 设计 的 目的 
是 至 少 执行 源 代 码 的 每 一 个 程序 分 支 一 次 。 这 里 ， 程 序 分 支 被 粗略 地 定义 为 : 从 
一 个 程序 开始 或 从 控制 结构 的 一 个 分 支 ， 到 下 一 个 控制 结构 或 程序 结束 的 可 能 的 
路 径 [BCS +03 ] o 

VARI 11.13 Afi), ARAN TE FAAR, RS TAKE 
的 Cl 覆盖 必须 满足 要 求 的 测试 对 象 。 























“SPE Hil > EL, Out=In1, 
否则 Out=In2 

















WR 测试 输入 说 明 | 





1( 路 径 A) Pei) > BAL 
2( 路 径 B) Fil < BE 











B 11.13 代码 级 上 分 支 覆 盖 





控制 流 图 像 和 测试 对 象 
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11.2.3 汽车 控制 软件 的 测试 执行 技术 案例 


11.2.3.1 背靠背 测试 

传统 意义 上 ， 基 于 代码 的 软件 开发 通常 只 产生 一 种 “可 执行 文件 ” 
件 本 号 。 然 而 ， 另 一 方面 ， 由 于 模型 的 演变 ， 基 于 模型 的 设计 通常 为 一 种 功能 
相同 的 功能 ， 产 生 多 种 可 执行 文件 (例如 设计 模型 、 执 行 模 型 和 生成 代码 )。 此 
外 ， 大 多 数 这 些 不 同 的 文件 可 以 进行 全 面 的 测试 (也 称 为 系统 测试 ) 或 部 分 测 
试 (也 称 为 模块 测试 ) 。 在 把 这 些 “ 洪 在 的 测试 对 象 ”与 用 不 同 的 “执行 平台 ” 
(例如 PC 主机 、 评 佑 板 ) 及 “环境 ” (例如 带 模拟 环境 的 开 环 、 闭 环 模型 ; 带 
真实 环境 的 闭环 模型 ) 组 合 时 ， 产 生 了 一 种 所 谓 的 “测验 可 能 性 ”TBN0,5s05] 。 为 
了 更 加 高 效 ， 对 于 一 项 全 面 的 基于 模型 的 测试 ， 并 不 建议 充分 利用 现 有 的 所 有 测 
试 可 能 性 。 而 是 选择 一 个 全 面 考虑 的 子 集 。 

在 这 些 测试 可 能 性 的 范围 之 内 ， 测 试 组 件 通 常 被 用 于 不 同 的 测试 工件 。 这 使 
测试 方法 可 以 被 实施 ， 一 个 工件 的 系统 反应 可 以 被 作为 测试 ， 来 确定 不 同 工 件 的 
期 望 输出 。 特 别 地 , “不 同 工 件 之 间 背 靠背 测试 ” (等 效 测试 ) 经 常 可 以 用 来 验 
证 从 一 个 模型 进化 阶段 到 下 一 个 模型 进化 阶段 的 正确 过 渡 。 

如 果 一 种 测试 方案 被 应 用 于 不 同 的 工件 ， 那 么 使 它 适应 特殊 的 测试 对 象 是 很 
有 必要 的 。 作 为 示范 ， 下 一 章节 将 讨论 测试 方案 如 何 被 应 用 于 模型 级 测试 。 

11.2.3.2 模型 试验 的 测试 工具 生成 

为 了 在 Simulink/Stateflow 表示 的 模型 中 ， 以 定义 的 测试 方案 激励 测试 对 象 ， 
需要 一 定 的 基础 设施 ， 用 来 对 测试 对 象 施加 测试 输入 ， 并 捕获 系统 反应 。 例 如 ， 
这 种 基础 设计 由 “模型 测试 工具 ”组 成 ， 且 它 本 身 又 是 一 种 仿真 或 状态 流 模型 。 

当 创 建 测试 工具 时 ， 在 一 个 单独 模型 中 的 测试 对 象 的 复制 是 由 仿真 和 信号 记 
录 模 块 来 完成 ， 因 而 一 种 扩展 的 “用 于 测试 执行 的 可 执行 模型 ” 被 称 作 测 
试 工具 模型 就 出 现 了 (图 11. 14) 。 在 测试 设计 过 程 中 定义 的 激励 信号 通过 测试 
工具 转化 为 适用 于 模型 测试 的 表示 ， 并 刺激 测试 对 象 的 输入 。 与 此 同时 ， 在 输出 
一 侧 ， 对 测试 对 象 的 相关 输出 信号 以 及 再 次 转换 为 Simulink 独立 表示 进行 了 记 
录 。 如 果 需 要 一 个 闭环 测试 执行 ， 有 必要 把 集成 相应 的 模型 组 件 (部 分 设备 和 
环境 模型 ) 来 模拟 反馈 回路 并 添加 相关 的 信和 号 流 。 

在 “间接 刺激 ”情况 中 ,包含 在 激励 模块 中 、 传 递 给 测试 对 象 输入 参数 的 、 
用 于 信和 号 转换 的 模型 部 分 ， 必 须 搬 入 进来 [Co"04。 co0 | 。 

因此 ， 比 如 如 果 需 要 作为 测试 对 象 的 输入 ， 那 么 通过 采用 求 和 模块 ， 可 以 累 
计 测 斌 数据 作为 信号 的 真实 值 ， 可 以 累计 信号 设 定 值 和 真实 值 之 间 的 差异 来 计算 
信号 的 设 定 值 。 间 接 刺 激 的 其 他 的 应 用 包括 单位 转换 (如 m/s 到 mile/h) 或 通 
过 查 表 把 踏板 行程 值 转换 为 对 应 的 转 矩 请 求 。 
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与 间接 刺激 类 似 , “捕捉 衍 生 信号 ”来 代替 测试 对 象 输出 可 能 是 有 意义 的 。 
这 样 的 例子 是 再 一 次 的 单位 转换 或 记录 滤波 信号 。 

捕捉 衍生 信号 的 男 一 个 例子 是 记录 “看 门 狗 ”输出 信和 号。 看 门 狗 是 用 于 检 
测 模型 信号 以 及 检查 模型 信号 之 间 属 性 的 模型 部 分 。 断 定 检测 的 信号 背离 指定 性 
能 的 看 门 狗 布 尔 输 出 ， 就 是 一 个 衍生 信号 ， 它 可 以 被 记录 下 来 ， 用 作 进 一 步 的 
分 析 。 

用 于 其 他 表示 形式 的 测试 对 象 (也 就 是 针对 软件 测试 和 组 入 式 系统 测试 ) 
的 基础 设施 ， 也 是 通过 上 述 规则 创建 的 。 然 而 ， 各 个 运行 平台 和 环境 的 细节 必须 
加 以 考虑 。 


11.2.4 汽车 控制 软件 示范 式 测试 评估 技术 


回归 与 背靠背 测试 的 信号 比较 

在 定时 测试 方案 中 ， 也 就 是 测试 执行 导致 定时 测试 输出 ， 系 统 的 反应 以 定时 
信和 号 的 形式 呈现 。 因 此 ， 定 时 系统 反应 (输出 时 间 序 列 ) 需要 在 测试 评估 过 程 
中 与 定时 参考 行为 (参考 时 间 序 列 、 黄 金 参 考 或 基准 线 ) 做 比较 。 因 此 在 这 种 
情况 下 的 测试 评估 的 本 质 是 执行 在 输出 时 间 序 列 o。*'(t) 和 参考 时 间 序 列 o。* '(1) 
之 间 的 “信号 比较 ”。 由 于 只 有 在 特殊 情况 下 才 需 要 考虑 实际 的 精确 平等 ， 所 以 
有 必要 使 用 合适 的 “和 鲁 棒 信号 比较 技术 ”， 它 可 以 允许 待 比 较 的 时 间 序 列 之 间 有 
时 域 和 值 域 方 面 的 偏差 。 

“人 工 信 和 号 比较 ”可 以 通过 对 输出 时 间 序 列 和 参考 时 间 序 列 在 绘制 的 一 个 相 
同 的 图 上 的 视觉 评估 来 执行 。 这 样 的 检查 不 一 定 会 专注 于 绝对 的 等 同 ， 而 是 在 于 
一 定 的 相似 性 : 如 果 信 号 图 足够 接近 ， 那 么 信号 可 以 被 考虑 相似 。 然 而 ， 这 种 视 
觉 检查 不 仅 高 度 主观 ， 而 且 与 比较 的 信号 的 数量 和 大 小 有 关 ， 很 容易 出 错 ， 而 且 
还 非常 消耗 时 间 。 它 也 需要 有 经 验 的 测试 人 员 。 

“自动 信号 比较 ”的 目的 是 自动 评估 测试 对 象 的 系统 反应 是 否 和 前 面 提 到 的 
基准 线 十 分 相似 。 因 此 ， 测 试 评估 判断 0 * (t) 与 o” (六 是 否 相 似 。 如 果 没 有 时 
间 序 列 之 间 的 相似 性 可 以 自动 识别 ， 那 么 需要 尽 可 能 检测 和 定位 出 现 的 偏差 。 在 
这 种 情况 下 ， 为 了 方便 进一步 的 人 工 评估 ， 需 要 提供 给 测试 人 员 合 适 的 信息 。 

自动 信号 比较 中 流行 的 方法 ， 包 括 绝对 偏差 、 相 对 偏差 和 和 斜率 相关 偏差 。 

1. “绝对 偏差 ”， 

absDiff,(t;) = | O07 (t;) - OF (t) 

2. “相对 偏差 ” : 






































lot (4) -OF a) | 


relDiff; (1; ) = = = 
[a7 1/10") | 
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3. “和 斜率 相关 偏差 ”: 





| 0 (t;) -07 (t;) | 





slopeDiff;(t;) = 





Jal O iD -07 +D | FFELP GD -07 4D | 

考虑 给 定 测试 对 象 的 一 个 输出 变量 w ， 在 上 面 的 公式 中 ，o 表示 期 望 的 / 参 
考 的 时 间 序列 输出 (在 测试 设计 中 定义 )，o;” 表示 真实 的 时 间 序 列 输出 (在 测 
试 执行 中 获得 ) 。 

这 些 “ 差 异性 标准 ”适用 于 检测 值 域 中 的 简单 偏差 .但 是 不 容许 时 间 域 中 
比较 信号 有 (部 分 ) 偏差 。 

为 了 允许 偏差 .在 存在 大 幅 值 或 大 斜率 的 情况 下 ， 相 对 偏差 和 和 斜率 相关 偏差 
严重 超过 小 幅 值 或 小 斜率 的 偏差 。 但 是 在 过 零点 ， 即 使 是 非常 小 的 偏差 也 将 会 导 
致 不 允许 的 大 偏差 。 为 了 解决 这 个 问题 ， 相 对 于 和 斜率 相关 偏差 可 以 参照 文献 中 推 
荐 的 方法 修改 [Sw0%]. 

4. “修正 的 相对 偏差 ”. 

ModRelDiff ( t) = min ( relDiff, ( t;) ,absDiff; ( t;)) 
_ | O07 (t) - OF (t;) | 
mal f [OF GA | /107 GJ 141) 
5. “修正 的 斜率 相关 偏差 ”: 
modSlopeDiff; (1;) = min( slopeDiff;( 1;) , absDiff; (1; ) ) 
7 | OF (5) - OF (4) | 

maf 5107 -D -07 (t;+1) | za lO (4-1) -OF (t; +1) | a) 

在 没有 高 估 小 幅 值 或 小 斜率 偏差 的 情况 ， 这 些 公 式 所 给 出 的 修正 量 加 强 了 大 
幅 值 或 大 斜率 的 偏差 。 

选 定 的 偏差 标准 针对 给 定时 间 序 列 的 所 有 时 间 步 又 it 计算。 为 了 生成 测试 结 
论 ， 这 种 方式 获得 的 最 大 偏差 然后 与 “最 大 人 允许 国 值 ” (最 大 容许 偏差 ) 相 
比较 。 

为 了 评估 Pedint 组 件 的 测试 方案 #1 〈 见 第 11.2.2. 1 节 ) ， 有 关 两 个 踏板 标 
志 的 系统 反应 必须 和 预期 输出 进行 比较 。 因 为 加 速 踏板 和 制 动 踏板 都 是 布尔 值 ， 
所 以 选择 允许 偏差 是 0 的 absDiff (绝对 偏差 ) 。 

图 11. 15 中 的 顶部 显示 了 制 劲 踏板 时 间 行 程 。 其 中 大 于 阔 值 ped min 的 部 
分 用 颜色 做 了 标记 。 下 面 的 图 显示 了 制 动 踏板 标记 的 预期 值 ( 实 线 ) 和 实际 值 
(虚线 ) 。 由 于 在 0.2 和 0.3 之 间 的 区 域 并 不 相同 ， 所 以 制 动 踏 板 识别 结果 并 不 
和 规定 一 致 。 与 此 相仿 的 是 ， 最 下 面 的 两 个 图 关注 加 速 踏板 激活 识别 。 在 这 里 ， 
它 工 作 正 确 。 实 际 的 和 预期 信号 反应 是 一 致 的 。 
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产生 这 种 错误 行为 的 原因 可 能 是 实施 的 对 比 算法 (图 11.4)， 它 比较 了 制 动 
踏板 行程 phi Brake FIG AM EMH ped min， 不 正确 的 检查 . 用 > = 代替 >。 
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图 11.15 ”PedInt 的 测试 评估 (测试 方案 如 ) 


用 于 和 鲁 棒 信 号 比较 的 更 强大 的 程序 是 当前 研究 课题 [7 H0,RWS +01,8WM02, WGP, C308] 。 

参考 文献 中 提 到 在 应 用 领域 肯定 流行 的 是 :“ 差 分 矩阵 程序 ”和 下 行 差 分 计 
算 的 组 合 [ WCF +02,CFP03 ,CSW06 ] 

这 种 两 阶段 的 信号 比较 技术 ， 首 先 通过 使 用 差分 矩阵 算法 预 处 理 两 个 时 间 序 
列 来 存 取 瞬时 偏差 ， 其 次 ， 预 处 理 过 的 定时 信和 号 根据 以 上 提 到 的 初步 差分 标准 比 
较 ， 来 评 佑 值 域 的 差异 。 这 样 ， 值 域 中 的 偏 移 与 偏差 可 以 分 开 识别 与 判断 。 

当 使 用 差分 矩阵 程序 进行 预 处 理 时 ， 系 统 的 反应 通过 拉 伸 或 压缩 时 间 被 调整 
到 预期 的 输出 。 被 拉 伸 或 压缩 的 程度 表示 瞬时 位 移 。 其 核心 思想 为 : 假设 我 们 要 
研究 两 个 信号 之 间 在 时 间 上 互相 转移 的 相似 性 ， 我 们 可 以 使 其 中 的 一 个 信号 向 另 
一 个 转移 ， 然 后 检测 剩余 偏差 。 从 数学 上 来 讲 ， 移 动 一 个 信号 朝向 男 一 个 信号 对 
应 一 种 特殊 的 信号 “重新 参数 化 ” (时 间 上 重新 排序 ) 。 差 分 矩阵 程序 寻找 一 般 
参数 化 ， 这 样 一 个 信号 尽 可 能 和 另外 一 个 信号 匹配 。 因 此 ， 要 考虑 可 能 的 局 部 漂 
移 和 压缩 。 

因此 ， 该 算法 计算 了 系统 反应 of (1) 的 合适 的 重新 参数 化 (时 间 重 新 排序 ) 
Yill ,twax ] ll tma] ， 使 系统 反应 尽 可 能 接近 参考 信号 o” (1) ， 也 就 是 说 得 到 
最 好 的 匹配 ，o” (1) 之 or (5 。 当 进行 这 些 工 作 时 ， 时 间 序 列 中 的 采样 点 的 时 间 
顺序 必须 遵守 。 

如 果 差 分 矩阵 程序 中 发 现 的 时 间 偏 差 不 超 过 某 一 姜 值 ， 那 么 利用 以 上 提 到 的 
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差异 标准 ， 就 可 以 评估 重新 参数 化 的 信号 之 间 的 相似 性 

对 于 测试 对 象 来 说 ， 存 在 很 多 测试 评估 程序 和 E 够 完成 具体 的 先决 条 SPF, Pil 
WN, Watkins! Y" 介绍 了 一 种 控制 软件 程序 ， 它 计算 了 足够 的 连续 性 函数 ， 其 中 
未 及 的 系统 条 出 可 以 之 前 的 答 为 基准 进行 依 等 和 用 测 。 在 实践 中 ， 有 必要 组 装 
适应 于 特定 问题 的 评估 程序 。 


11.3 开发 过 程 中 的 测试 


正如 前 言 中 提 到 的 ， 测 试 有 必要 根据 采用 的 软件 开发 范式 适应 整个 测试 过 
程 。 因 此 ， 接 下 来 介绍 针对 基于 模型 和 基于 代码 的 开发 测试 流程 。 就 测试 而 言 ， 
这 些 开发 范式 之 间 最 主要 的 区 别 来 源 于 考虑 的 不 同 的 潜在 测试 对 象 及 典型 的 测试 
等 级 。 图 11. 16 分 别 介绍 了 基于 模型 和 基于 代码 的 软件 开发 的 测试 对 象 和 测试 等 
级 。11.3.1 节 和 11.3.2 节 将 对 这 些 进行 详细 介绍 。 

针对 汽车 测试 的 具体 挑战 ， 一 方面 来 自 于 汽车 制造 商 [原始 设备 制造 商 
(OEM) ] 分 布 式 研发 ， 另 一 方面 供应 商 忽略 了 开发 过 程 是 否 基 于 模型 或 代码 的 
范式 。11. 3. 3 节 讨 论 了 OEM 和 它 的 供应 商 在 测试 过 程 之 间 的 联系 。 
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图 11. 16 基于 模型 和 基于 代码 的 软件 开发 








FP 的 测试 对 象 和 测试 等 级 ( 简 图 ) 


11.3.1 基于 代码 开发 过 程 中 的 测试 


11.3.1.1 针对 代码 测试 的 测试 等 级 

基于 代码 的 开发 过 程 中 的 测试 和 若干 教科 书 测试 理论 中 描述 的 典型 测试 过 程 
是 一 致 的 [ Mye79 ,Lig92 ] 5 

单个 软件 组 件 (模块 ) 是 首先 执行 的 ， 因 而 是 产生 的 、 动 态 可 测试 的 软件 。 
在 “软件 组 件 测 试 ” 过 程 中 ， 每 一 个 模块 被 单独 测试 ， 且 组 件 接口 要 检查 与 设 
计 规 格 的 一 致 性 。 尽 管 软 件 组 件 的 测试 通常 被 认为 是 软件 开发 者 的 责任 ， 但 结 
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是 整个 项 目的 一 部 分 ， 因 此 项 目 管理 和 测试 人 员 应 该 知道 这 种 测试 。 

在 单个 模块 测试 完成 之 后 ， 软 件 系统 根据 已 经 定义 的 集成 策略 进行 组 装 和 测 
试 ( 见 11.4.4 节 )。 因 此 ， 在 “软件 集成 测试 中 ”， 在 整体 软件 被 组 装 起 来 进行 
整体 测试 之 前 ， 一 些 代 表 子 系统 的 软件 组 件 需要 进行 测试 。 集 成 等 级 的 数量 和 单 
个 模块 或 子 系统 融合 顺序 在 集成 策略 中 有 定义 。 软 件 集成 测试 的 目的 在 于 揭示 来 
自 以 下 途径 的 错误 : 不 正确 组 件 接口 的 执行 、 不 正确 的 错误 处 理 、 不 合适 的 控制 
和 组 件 排序 错误 。 

理论 上 来 说 ， 软 件 组 件 测试 和 软件 集成 测试 都 能 在 主机 和 目标 平台 上 执行 。 
但 在 实践 中 ， 两 者 都 通常 在 计算 机 主机 上 执行 ， 因 为 在 这 里 可 以 更 方便 地 激活 组 
件 之 间 的 接口 (图 11.17)。 
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图 11.17 基于 代码 开发 的 测试 等 级 (详细 图 ) 


“软件 系统 测试 ”的 目标 在 于 将 集成 软件 作为 一 个 整体 来 测试 。 软 件 系 统 测 

试 可 以 在 主机 上 执行 这 [软件 在 环 测试 (SIL)] 也 可 以 在 目标 处 理 融 中 执行 

[处 理 器 在 环 测试 (PIL) ] 。 如 果 目 标 处 理 器 可 以 在 此 阶段 使 用 ， 建 议 在 这 个 处 
理 器 上 和 运行 与 时 序 方面 有 关 的 具体 测试 。 

该 软件 经 过 全 面 测试 之 后 ， 需 要 进行 接 下 来 的 集成 步 又， 这 意味 着 软件 集成 
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到 般 入 式 系统 ， 也 就 是 目标 ECU。 跟 随 这 个 集成 步骤 之 后 是 “系统 组 件 测试 ” 
或 “ECU 测试 ”。 

根据 实际 项 目 中 的 硬件 开发 进程 ， 系 统 测试 的 执行 是 通过 采用 当前 可 用 的 控 
制 单 元 样本 来 进行 的 〈 样 本 A、B 和 C)。 

最 后 ， 骨 和 式 系 统 被 集成 到 汽车 上 ， 通 过 “和 车载 测试 ”来 试验 。 

11.3.1.2 基于 代码 测试 的 测试 策略 

应 用 单一 的 测试 技术 往往 得 不 到 满意 的 测试 覆盖 率 。 在 实践 中 ， 若 干 补充 测 
试 技术 精心 结合 成 为 一 个 “测试 策略 ”。 功 能 强大 的 测试 策略 点 插 了 功能 性 和 结 
构 性 测试 设计 技术 的 集合 。 由 Grim 引入 的 术语 “有 效 测 试 方法 ”用 来 描述 这 种 
方法 [ Gri95 ] R 


11.3.2 在 基于 模型 开发 过 程 中 的 测试 


11.3.2.1 基于 模型 测试 的 测试 等 级 

在 基于 模型 开发 过 程 中 的 测试 扩大 了 原始 测试 理论 中 的 测试 范围 。 与 基于 代 
码 的 开发 过 程 相 比 ， 将 模型 作为 测试 对 象 的 使 用 明显 较 早 地 开始 执行 测试 。 被 测 
试 的 功能 模型 通常 在 不 同 的 推进 阶段 显现 出 来 。 几 乎 在 每 一 个 基于 模型 的 项 目 
中 ， 都 可 以 发 现 有 两 种 变化 ， 它 们 是 “行为 的 ”或 “设计 模型 ”与 “执行 模 
型 ”。 尽 管 设 计 模 型 侧重 于 描述 预期 行为 ， 但 执行 模型 也 包括 了 所 有 的 实现 方 
面 ， 它 们 是 编码 活动 的 先决 条 件 。 

由 于 早期 存在 的 可 执行 控制 需 模 型 ， 对 功能 开发 者 来 说 ， 在 模型 阶段 早已 可 
以 证 明和 用 不 同 的 技术 测试 是 可 能 的 。 因 此 错误 可 以 被 早 些 检测 出 来 ， 并 且 以 较 
低 的 成 本 删除 。 可 用 技术 的 范围 在 互动 特 设 模拟 到 模型 系统 检测 之 间 变 动 。 

基于 代码 的 开发 等 级 ( 见 11.3.1.1 节 ) 也 适用 于 基于 模型 的 开发 。 就 执行 
平台 而 言 ， 软 件 组 件 测试 和 软件 集成 测试 可 以 稍微 灵活 地 执行 ， 这 是 因为 自动 代 
码 生 成 器 通常 支持 主机 和 目标 平台 。 基 于 实际 的 原因 ， 集 成 通常 发 生 在 模型 层 
次 ， 以 至 于 在 软件 层次 通常 只 测试 单个 组 件 和 /或 整体 的 应 用 软件 ， 而 不 是 不 同 
的 集成 步骤 ， 如 图 11. 18 所 示 。 基 于 模型 测试 的 主要 优点 是 能 在 研发 早期 、 生 成 
代码 之 前 ， 在 模型 层次 上 的 附加 测试 等 级 可 以 用 来 测试 适用 性 并 增加 它 的 成 
熟 性 。 

类 似 于 在 彼此 基础 上 建立 的 软件 测试 等 级 , “模型 组 件 测试 ”“ 模 型 集成 测 
试 ” 和 “模型 系统 测试 ”都 可 以 得 到 解决 。 对 于 模型 层次 测试 ， 设 计 和 执行 模 
型 都 可 以 被 利用 。 

如 果 测 试 中 包括 了 设备 模型 ， 例 如 测试 是 以 闭环 的 形式 执行 的 ， 那 么 这 被 称 
为 “模型 在 环 测试 ” (MIL) 。 类 似 的 术语 适用 于 软件 层次 测试 。 主 机 平台 上 的 
闭环 测试 被 称 为 “软件 在 环 测试 ”(SIL) ， 目 标 平台 上 的 闭环 测试 被 称 为 “处 理 






























































302 


第 11 童 ”汽车 控制 软件 测试 eee 
设计 异型 | | 实施 模型 | | ERE eiaa azal | 汽车 


基 丁 模型 的 软件 研发 













模型 测试 模型 测试 软件 测试 软件 测试 A RABE 车 载 测试 
/在 环 /在 环 /在 坏 /在 二 测试 /在 环 /道路 测试 
模 才 测试 #1 BAW THD 软件 测试 处 埋 器 测试 硬件 测试 


SONATE || BERL 

测试 测试 | ee 
women |] wom 
ye iy v 


v 
模型 系统 模型 系统 软件 系统 软件 系统 
测试 测试 测试 测试 


系统 组 件 
测试 








图 11.18 基于 模型 开发 的 测试 等 级 (详细 图 ) 





器 在 环 测试 ” (PIL)。 
这 里 所 描述 的 测试 程序 ， 用 作 测 试 待 开发 的 控制 器 ， 因 此 它 侧重 于 控制 器 模 
型 。 不 考虑 这 一 点 的 话 ， 汽 车 和 环境 模型 的 质量 也 明显 需要 得 到 保障 。 
11.3.2.2 基于 模型 测试 的 测试 策略 
基于 模型 测试 的 测试 技术 :Se"0L BNOS] ， 按 常规 就 是 改编 传统 的 软件 测试 技术 
或 指定 域 的 分 析 或 测试 技术 。 
但 是 应 用 采用 模型 作为 测试 基础 的 测试 设计 技术 可 能 导致 不 同 的 测试 方案 ， 
这 是 由 于 特殊 类 型 的 形式 和 结构 以 及 不 同 的 抽象 层次 。 此 外 ， 基 于 模型 的 开发 方 
法 也 允许 在 较 早 的 阶段 采用 大 量 测试 技术 。 
同样 的 ， 因 为 使 用 单独 的 测试 技术 通常 不 能 满足 完整 的 测试 ， 所 以 互补 的 技 
术 必 须 适 当 结 合 在 一 起 。 高 效 测试 策略 的 目标 是 以 提供 不 同 测试 程序 的 适当 组 
， 确 保 高 的 错误 检测 概率 。 基 于 模型 测试 的 有 效 的 测试 策略 必须 考虑 基于 模型 
开发 的 具体 细节 ， 并 且 合 适 地 考虑 可 执行 模型 的 存在 ， 因 此 在 两 个 方面 超过 一 般 
的 测试 策略 。 它 应 该 考虑 的 内 容 有 : 
。 将 可 执行 软件 模型 中 的 测试 设计 技术 作为 测试 基础 。 
。 测试 对 象 的 不 同 的 表示 (进展 阶段 通常 出 现在 基于 模型 开发 的 背景 中 。 
在 模型 层次 上 的 功能 性 和 结构 性 测试 设计 技术 组 合 在 一 起 ， 随 后 再 重新 利用 
WRT, 被 证 明 是 成 功 的 ， 如 图 11.19 所 示 。 
这 种 测试 策略 的 重点 是 测试 方案 的 系统 设计 ， 它 以 功能 规范 、 接 口 和 艇 入 式 
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软件 的 可 执行 模型 为 基础 。 此 外 ， 合 适 的 结构 测试 标准 定义 在 模型 级 别 上 ， 以 这 
种 方式 确定 的 测试 质量 可 以 被 评 佑 。 如 果 有 必要 ， 额 外 的 测试 方案 需要 被 定义 ， 
直到 被 选择 的 结构 性 测试 标准 得 以 实现 。 因 此 ， 一 旦 在 模型 级 别 上 充足 的 测试 覆 
盖 范 围 得 到 确保 ， 那 么 功能 性 和 机 构 性 测试 方案 可 以 被 背靠背 测试 重新 利用 ， 用 
于 检测 软件 和 藤 入 式 系 统 ， 以 此 证 明 可 执行 模型 和 再 现形 式 模型 (人 刨 除 一 些 内 
容 ) 之 间 的 功能 等 同性 。 

测试 基础 测试 设计 ”测试 输入 测试 对 象 ”系统 反应 。 ”测试 评估 




















MAMAS 
图 11. 19 ”基于 模型 测试 的 有 效 测试 方案 





步 又 详细 介绍 如 下 : 

1. 模型 级 别 上 的 系统 功能 测试 : 起 初 在 开发 过 程 的 早期 ， 面 向 功能 的 测试 
方案 系统 地 源 自 功能 规范 、 接 口 和 可 执行 模型 ( 见 11.2.1.1 节 和 11.2.2.1 节 )。 

测试 方案 的 确定 一 直 要 继续 下 去 ， 直 到 取得 了 充足 的 要 求 和 取 值 覆盖 范围 。 
接 下 来 在 模型 测试 背景 中 执行 检测 过 的 测试 方案 。 对 测试 方案 的 模型 反应 必须 被 
记录 下 来 。 

2. 监测 模型 覆盖 率 : 在 模型 级 别 上 测试 结构 覆盖 率 是 很 有 用 的 ， 因 为 在 实 
际 软件 存在 之 前 可 以 决定 覆盖 率 。 这 样 ， 可 以 提供 关于 测试 对 象 的 结构 覆盖 率 的 
早期 说 明 。 

用 在 步骤 1 (如 果 适 用 的 话 ， 也 包括 步骤 3) 中 识别 的 测试 方案 获得 的 覆盖 
率 必 须 测量 。 一 旦 足够 的 结构 性 模型 覆盖 率 被 实现 的 话 ， 我 们 可 以 进行 到 步骤 
4。 和 否则 ， 我 们 需要 重复 进行 步骤 3。 

3. 在 模型 级 别 上 的 结构 性 测试 : 如 果 足 够 的 模型 覆盖 率 还 没有 取得 ， 那 么 
必须 识别 还 没有 和 覆盖 到 的 模型 单元 ， 必 须 为 这 些 模型 部 分 创建 特定 的 测试 方案 ， 
还 需要 添加 到 现 有 的 测试 套件 中 ( 见 11.2.1.1 节 和 11.2.2.1 节 )。 随 后 重新 执 
行 步骤 2。 此 过 程 需要 进行 下 去 ， 直 到 达到 足够 的 覆盖 率 。 

在 模型 测试 中 ， 使 用 识别 的 测试 方案 来 测试 设计 和 /或 执行 模型 。 来 自 仿真 
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模型 在 这 些 测试 方案 下 的 系统 反应 将 必须 记录 下 来 。 

4. 使 用 软件 与 凡 入 式 系统 执行 背靠背 测试 : 如果 在 下 一 步 的 开发 中 ， 软 件 
和 诅 和 人 式 系统 是 可 以 利用 的 ， 那 么 针对 软件 和 艇 入 式 系统 (在 步 又 1 和 步 又 3 中 
出 现 的 ) 测试 方案 将 被 重复 执行 。 系 统 的 反应 再 次 被 记录 下 来 ， 并 与 模型 的 反 
应 进行 比较 ( 见 11.2.3.1 节 )。 在 系统 反应 有 是 够 的 相似 性 (功能 等 价 ) 的 情 
况 下 ， 我 们 可 以 假设 在 C 代码 下 模型 的 转变 和 它 租 入 到 控制 单元 中 没有 出 差错 。 

根据 步骤 1 到 步骤 4 得 到 的 基于 模型 测试 的 有 效 测 试 方案 的 示意 图 如 图 
11. 19 所 示 。 在 步骤 1 和 步骤 3 中 ， 选 择 测试 设计 技术 ; 在 步 又 2 中 ,结构 性 测 
试 标准 ; 在 步骤 4 中 ， 比 较 程序 。 如 果 有 必要 ， 都 可 以 适用 于 特定 的 项 目 。 

基于 功能 和 机 构 的 测试 方案 系统 性 设计 ， 使 得 大 量 与 软件 相关 的 错误 可 能 暴 
露出 来 。 在 由 不 同 覆 盖 率 标准 〈 例 如 以 需求 为 导向 、 以 数据 范围 为 导向 和 以 模 
型 结构 为 导向 ) 组 合 的 有 效 测 试 策略 背景 中 ， 可 以 保证 足够 的 测试 覆盖 率 。 

在 模型 级 别 上 把 功能 性 与 结构 性 相 结 合 的 测试 设计 技术 ， 由 基于 模型 测试 的 
有 效 测试 策略 来 定义 ， 并 随后 多 次 重复 利用 为 软件 测试 和 岁入 式 系统 检测 的 测试 
策略 ， 这 样 很 明显 产生 了 一 个 基于 模型 方法 的 主要 优点 : 可 以 系统 地 测试 戏 入 式 
应 用 系统 软件 的 前 兆 阶 段 。 因 此 ， 测 试 活动 可 以 被 转移 到 早期 的 开发 阶段 ， 并 且 
减少 由 模型 测试 发 现 的 那些 错误 的 纠正 成 本 。 


11.3.3 OEM 和 供应 商 之 间 的 接口 与 互动 


汽车 控制 开发 的 一 个 典型 特征 就 是 需要 考虑 在 OEM 和 不 同 供应 商 之 间 的 关 
ZIS] 。 它 影响 到 测试 进程 ， 因 而 与 测试 一 方 共享 的 工作 方式 显然 取决 于 一 般 
的 合作 模型 。 

在 实践 中 可 以 找到 大 量 的 合作 模型 (图 11. 20) : 一 方面 ,传统 的 方法 (类 
型 A) ， 制 造 商 规定 了 系统 或 组 件 ， 然 后 整体 的 开发 由 供应 商 来 执行 ; 另 一 方面 ， 
相反 的 方法 (类 型 C) ， 越 来 越 受 欢迎 ， 整 个 应 用 软件 的 开发 由 制造 商 来 执行 ， 
供应 商 只 提供 ECU 硬件 和 一 些 基本 的 软件 ; 许多 处 于 中 间 的 变种 (类 型 B) 也 存 
在 ,合作 进行 软件 开发 。 这 种 在 OEM 和 供应 商 之 间 更 灵活 的 接口 使 制造 商 去 设计 
新 的 、 具 有 竞争 性 的 功能 ， 并 在 负 有 责任 的 同时 也 拥有 整个 开发 周期 的 知识 产权 。 

至 于 关注 的 测试 ，OEM 和 供应 商 之 间 的 关系 造成 了 一 些 测试 等 级 (图 
11.18) 由 OEM 来 执行 ， 而 男 外 一 些 由 供应 商 来 执行 。 在 类 型 A 的 开发 中 ,大 
部 分 测试 等 级 由 供应 商 来 执行 ， 且 OEM 首次 融入 测试 是 租 和 信 式 系统 测试 /HIL W 
试 ， 如 图 11. 21 所 示 。 

在 类 型 B 或 类 型 C 中 ， 人 情形 则 相反 ， 研 发 双方 共同 致力 于 测试 流程 ， 从 一 
FPR BN RASA SMA AIL 测试 等 级 。 图 11. 22 显示 了 基于 模型 的 软件 开发 范 
式 ， 在 这 个 前 提 下 ， 所 有 可 能 的 测试 等 级 都 被 应 用 。 






















































































305 


oo VN FERKARAAE IM 





RALA 





功能 软件 









































供应 商 提供 的 应 用 软件 开发 


合作 天 











MH 


软件 下 发 


OEM 提 供 的 应 用 软件 开发 





E OEM 开 发 部 分 





国 供应 商 开 发 部 分 








图 11.20 在 功能 性 软件 开发 过 程 
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此 外 ， 开 发 合作 伏 介 
所 谓 的 “验收 测试 ” 。 不 管 合作 伙 介 
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lL 之 间 的 互动 需要 对 制造 商 有 一 个 附加 的 测试 等 级 ， 就 是 
之 间 的 接口 是 由 哪 种 方式 来 定义 的 ， 制 造 商 
的 产品 应 用 验收 测试 组 件 。 
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图 11.22 类 型 B 开 发 在 测试 中 承担 任务 的 接口 


11.4 测试 计划 





为 了 确保 系统 性 、 高 效 性 的 测试 ， 不 同 的 测试 等 级 和 活动 需要 仔细 协调 和 计 
划 。“ 测 试 计划 ”目的 就 是 确定 预期 测试 等 级 和 活 动 的 范围 、 步 又 、 资 源 和 日 
程 。 测 试 计 划 的 结果 被 记录 在 测试 计划 文档 中 。 


11.4.1 创建 测试 计划 


测试 计划 至 少 确定 以 下 内 容 : 

。 单项 测试 技术 的 选择 和 组 合 (例如 CTMEws 和 DC 测试 ) ; 

。 在 整体 系统 中 应 用 于 子 组 件 的 顺序 (例如 自 项 向 下 或 自 底 向 上 ); 

。 不 同 测试 等 级 之 间 的 互动 (例如 MIL, SIL). 

为 了 避免 多 种 多 样 测试 等 级 中 的 测试 漏洞 和 宛 余 测试 ， 并 且 能 够 复 用 广泛 可 
用 的 测试 方案 ， 单 个 测试 等 级 中 的 试验 需要 统一 测试 目标 、 测 试 技术 和 使 用 的 测 
试 工具 。 特 别 是 需要 清楚 地 记录 在 单个 测试 等 级 中 解决 了 什么 类 型 的 错误 ， 及 测 
试 进行 到 了 什么 深度 (测试 标准 ) 。 

这 些 因素 考虑 的 结果 都 将 记录 在 “两 阶段 的 测试 计划 ”中 (图 11.23), 5 
越 多 个 测试 等 级 内 容 汇 集 在 一 张 “ 主 测试 计划 ” 表 中 ， 形 成 了 为 单个 测试 等 级 
而 设置 的 详细 测试 计划 的 基础 。 主 测试 计划 建立 了 单个 测试 等 级 之 间 的 一 致 性 。 
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每 一 个 测试 等 级 都 有 一 个 详细 的 计划 ， 并 在 “详细 测试 计划 ”中 被 记录 下 
来 。 测 试 计划 应 该 包括 一 些 信息 ， 例 如 测试 活动 、 测 试 对 象 、 测 试 设计 技术 、 测 
试 环境 、 测 试 标 准 、 需 要 的 资源 等 (图 11.23)。 测 试 计划 模板 的 使 用 可 以 促进 
测试 计划 的 创建 。 
主 测试 计划 


























TEU EEFE 软件 测试 软件 测试 RANZA 车载 测试 
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详细 测试 计划 =-=- 
模型 测 BASE a2 "1 
mt a TRTR 
GE maA 
Me bine ae 监测 ; 
pice 人 
测试 设计 技术 : 和 PRR A 
测试 标准 : CTC main: 
290%, FRE RT BH TS 
测 RIH: Simulink 验 证 与 5 认证 ， 分 类 树 编辑 器 。 

















图 11.23 两 阶段 测试 规划 


详细 测试 计划 的 测试 对 象 部 分 识别 出 在 这 种 测试 水 平和 相应 的 测试 目标 下 ， 
所 有 待 工作 的 测试 对 象 。 基 于 详尽 的 测试 计划 ， 测 试 人 员 为 列表 中 的 每 一 个 测试 
对 象 进行 不 同 的 测试 活动 。 

为 了 跟踪 测试 进度 ， 测 试 活 动 的 结果 应 该 被 记录 在 一 个 整体 的 “测试 文档 ” 
中 。 因 此 ， 测 试 文档 可 以 反映 测试 计划 的 结构 。 

在 测试 计划 中 ， 有 一 些 常见 的 待 执行 活动 和 将 要 考虑 的 话题 ， 将 在 11.4.2 
节 到 11. 4. 5 节 讨 论 。 


11.4.2 测试 等 级 的 选择 


潜在 的 测试 等 级 取决 于 项 目 开 发 的 范式 和 生命 周期 。 基 于 模型 和 基于 代码 的 
典型 的 测试 等 级 已 经 分 别 在 11.3.2.1 节 和 11. 3. 1.1 节 中 讨论 。 

除 其 他 事项 外 ， 主 测试 计划 是 确定 测试 等 级 ， 它 要 适用 具体 的 开发 环境 。 例 
如 ， 评 估 板 的 可 利用 性 是 PIL 测试 的 先决 条 件 。 另 一 方面 ， 利 用 全 部 潜在 的 测试 
等 级 是 没有 效果 的 。 举 例 说 ， 如 果 要 测试 设计 和 执行 模型 ， 我 们 应 当 考 虑 进行 两 
种 模型 的 系统 测试 ， 而 不 是 去 掉 设 计 模 型 的 单元 测试 。 集 成 策略 (11. 4.4 节 ) 

影响 到 相关 的 测试 等 级 。 例 如 ， 在 一 个 模型 大 爆炸 集成 的 情况 中 ， 模 型 集成 测 
试 不 再 有 用 。 

由 所 选 的 测试 等 级 确定 的 测试 方案 (11. 3.1.2 节 和 11.3.2.2 节 ) 应 该 被 记 

录 在 主 测试 计划 中 。 对 于 适用 于 特定 的 项 目的 每 一 个 测试 等 级 来 说 ， 需 要 创建 一 
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个 详细 的 测试 计划 (11.4.1 节 )。 

测试 等 级 的 选择 是 一 种 典型 的 测试 深度 和 测试 效率 之 间 的 权衡 。 可 以 选择 以 
风险 为 基础 的 方法 来 平衡 这 两 个 方面 。 为 了 方便 快捷 地 进行 测试 ， 建 议 重用 工件 
和 以 前 测试 等 级 中 的 数据 ， 并 明确 规定 每 一 个 测试 等 级 的 目标 。 


11.4.3 测试 对 象 的 选择 


测试 等 级 可 以 分 为 以 下 两 大 类 : 

。 IRER, WKAR ASIN, SEPP EMAAR (PMN, E 
入 式 系统 ) 。 

。 测试 等 级 ， 比 如 模型 测试 和 软件 测试 等 ， 涵 盖 了 很 多 作为 潜在 测试 对 象 
的 组 件 〈 例 如 ， 所 有 模型 /软件 的 组 件 ) 。 

对 于 后 者 ， 选 择 这 个 等 级 的 模型 或 软件 组 件 进 行 测试 ， 通 常 是 有 必要 的 ， 这 
是 因为 开发 资源 和 时 间 的 限制 。 举 个 例子 ， 并 非 所 有 Simulink 模型 的 子 系统 可 以 
承受 模型 组 件 的 测试 。 选 择 模 型 或 软件 组 件 (下 文中 称 为 工件 ) 进行 测试 ， 可 
能 基于 以 下 一 条 或 多 条 选择 标准 : 

。 在 面向 功能 的 选择 中 ， 选 择 实现 显著 功能 的 工件 作为 测试 对 象 。 需 要 注 
意 的 是 选择 的 工件 必须 可 以 从 整个 系统 中 分 离 出 来 ， 从 而 也 是 可 测试 的 。 那 些 被 
特殊 要 求 直 接 命名 的 工件 也 应 该 作为 测试 对 象 ， 来 检查 对 要 求 的 满足 。 如 果 计 算 
的 复杂 程度 不 能 被 其 他 测试 所 考虑 ， 那么 含有 复杂 算法 的 工件 需要 单独 测试 。 这 
里 ， 应 该 在 最 低 可 能 的 集成 水 平 上 进行 一 个 独立 的 测试 。 

。 在 基于 结构 的 选择 中 ， 测 试 对 象 的 选择 可 以 基于 结构 或 者 工件 的 复杂 程 
度 和 /或 他 们 的 打算 部 署 。 为 了 引导 选择 ， 不 同 的 大 小 和 复杂 性 度量 可 以 应 用 在 
可 能 的 工件 。 度 量 应 该 包括 有 关 界 面 大 小 、 代 码 行 数 、 航 套 深 度 等 信息 。 此 外 ， 
测试 对 象 的 选择 可 以 基于 未 来 的 硬件 分 配 或 任务 结构 。 

。 在 面向 人 员 的 选择 中 ,测试 对 象 的 选择 类 似 于 包含 在 开发 过 程 中 (开发 
者 ) 个 体 之 间 的 工作 的 分 配 。 此 外 ， 开 发 者 的 专业 知识 也 可 以 提供 有 关 测 试 需 
要 何 种 详细 程度 的 信息 。 

。 在 基于 风险 的 选择 中 ， 被 测试 的 工件 是 基于 风险 评估 识别 的 (基于 风险 
测试 ) 。 测 试 资源 的 数量 对 应 于 工件 的 重要 性 。 基 于 风险 测试 的 选择 也 可 以 应 用 
于 在 测试 资源 有 限 的 情况 下 决定 测试 对 象 的 一 个 合适 顺序 。 

。 在 面向 资源 的 选择 中 ， 测 试 的 选择 和 强度 对 应 于 测试 可 利用 的 资源 。 尽 管 这 
个 准则 是 从 项 目 管理 者 的 角度 来 看 的 ， 但 这 也 不 应 该 是 测试 计划 的 主要 决策 依据 。 由 
于 时 间 和 经 费 的 削减 ， 开 发 延迟 可 能 导致 整个 测试 被 中 断 或 不 成 比例 地 减少 。 

。 在 面向 阶段 或 成 熟 水 平 的 选择 中 ， 测 试 对 象 的 选择 分 别 和 当前 开发 阶段 
或 单个 开发 工件 的 成 熟 水 平 有 关 。 这 保证 了 只 有 这 些 被 完全 测试 、 已 经 达到 一 个 
比较 稳定 的 开发 状态 ， 且 和 当前 开发 阶段 有 关 的 工件 〈 例 如 ，B 样本 控制 单元 的 
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开发 ) 。 然 而 ， 因 为 这 个 标准 只 考虑 了 开发 阶段 的 一 个 当前 的 状态 ， 所 以 测试 对 
象 的 整体 选择 必须 独立 于 这 个 估计 。 和 否则 ， 将 会 导致 测试 的 遗漏 。 


11.4.4 集成 策略 


按照 单个 测试 对 象 的 选择 ， 应 该 建立 适用 于 所 有 集成 测试 等 级 的 合适 的 
“集成 策略 ” 。 集 成 策略 介绍 了 单个 子 组 件 如何 被 一 步 步 集合 到 一 个 整体 的 系统 
中 ， 以 及 在 集成 测试 中 它们 是 如 何 被 测试 的 。 集 成 测试 ( 见 11.3.1.1 节 和 
11.3.2.1 节 ) 通常 类 似 于 集成 战略 和 秩序 。 

没有 一 个 明确 定义 的 集成 策略 能 经 常 带 来 一 个 “测试 对 象 的 特定 选择 ” (如 
图 11. 24 顶部 所 示 ) ， 它 导致 了 测试 差距 (遗漏 ) 或 测试 元 余 。 




















Ad-hoc 


所 有 第 “级 子 系统 所 有 第 一 级 和 第 一 级 子 系统 

















图 11.24 常用 集成 测试 策略 

测试 的 文献 提出 了 不 同 的 集成 策略 ， 例 如 “ 自 底 向 上 、 自 项 向 下 、 从 中 间 开 
始 、 大 爆炸 集成 "nw 。 然 而 ， 选 择 的 开发 范式 限制 了 适用 的 集成 策略 的 数目 。 

中 小 规模 的 基于 模型 的 开发 项 目 ， 例如， 经 常 使 用 大 爆炸 的 方法 。 如 果 聚 合 
组 件 只 能 以 一 个 闭环 的 方式 进行 测试 ， 那 么 大 爆炸 的 集成 也 是 一 个 不 错 的 选择 。 
其 他 整合 战略 会 产生 部 分 集成 的 模型 或 软件 ， 它 们 不 与 设备 模型 的 接口 相 匹 配 。 
为 丢失 的 组 成 部 分 创建 存根 可 能 并 不 值得 。 

在 基于 模型 的 开发 范围 中 ， 所 有 第 一 级 (最 上 一 级 ) 模型 组 件 ( 子 系统 ) 
的 大 爆炸 集合 ， 在 与 所 有 第 一 级 或 所 有 第 一 级 与 第 二 级 承受 开 环 模型 测试 组 合 中 
(如 图 11. 24 底部 所 示 ) ， 已 经 被 证 明 是 成 功 的 。 紧 随 集成 而 来 的 是 ， 应 该 执行 
集成 模型 的 一 个 开 环 或 闭环 模型 测试 〈 即 模型 系统 测试 ) 。 

除了 不 是 一 个 完整 的 集成 序列 之 外 ， 从 测试 的 角度 来 看 它 是 最 有 利 的 ; 通常 
有 其 他 的 限制 ， 例 如 完整 的 序列 和 工件 的 交付 ， 这 些 都 必须 考虑 。 定 义 的 集成 策 
略 也 应 当 考 虑 这 些 限制 。 

集成 策略 应 该 被 当做 详细 测试 计划 的 一 部 分 而 记录 下 来 ， 因 为 这 些 测 试 水 平 
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包含 了 组 件 的 集成 ， 例 如 MILA, #2, SIL 和 PIL, 
11.4.5 测试 环境 


在 汽车 系统 开发 过 程 中 ， 除 了 不 同 的 测试 对 象 外 ,不 同 的 测试 “执行 平台 ” 
也 是 很 重要 的 。 在 这 些 背 景 中 ， 相 关 的 执行 平台 包括 使 用 的 模型 和 仿真 环境 
(如果 适用 的 话 ) 、 主 机 或 目标 处 理 咒 和 完整 的 ECU。 根 据 开 发 范式 和 开发 类 型 ， 
这 些 平台 可 能 无 法 使 用 。 在 某 些 情 况 下 ， 只 选择 这 些 平台 中 的 一 个 作为 执行 环境 
可 能 更 有 意义 。 目 标 硬 件 独立 执行 平台 在 早期 开发 新 系统 过 程 中 ， 起 到 很 特别 重 
要 的 作用 ， 因 为 在 那个 时 候 目 标 便 件 通常 不 能 用 来 测试 。 

测试 环境 包括 必要 真实 或 仿真 环境 元 素 的 定义 ， 还 有 测试 对 象 被 执行 的 平 
合 。 提 供 特 殊 环 境 元 素 所 需 的 工作 取决 于 开发 应 用 的 类 型 。 例 如 ， 在 车 辆 动力 学 
应 用 开发 过 程 中 ， 诸 如 路 面条 件 的 影响 、 汽 车 系统 的 硬件 和 驾驶 人 的 行为 ， 通 常 
在 测试 中 起 到 了 决定 性 的 作用 。 在 这 种 环境 下 的 合适 的 测试 计划 ， 包 括 确保 合适 
设备 部 件 与 环境 模型 的 可 用 性 ， 以 及 真实 硬件 组 件 。 

与 测试 环境 有 关 的 考虑 应 该 记录 在 详细 测试 计划 中 。 











= 





11.5 总 结 


在 汽车 软件 工程 中 ,动态 测试 形成 了 分 析 质 量 保证 的 核心 因素 。 进 行 完 全 与 
系统 测试 的 先决 条 件 是 一 份 仔 细 的 测试 计划 和 覆盖 测试 水 平 与 测试 活动 的 结构 测 
试 流程 。 为 了 测试 汽车 艇 入 式 软件 ， 大 量 的 测试 技术 已 经 出 现 ， 但 它 与 通用 的 非 
藤 入 式 系 统 研 发 的 测试 撤 术 相 比 有 很 大 的 差距 。 

在 核心 测试 活动 中 ， 测 试 设计 也 就 是 选择 合适 的 测试 方案 ， 是 最 重要 的 一 
步 ， 它 决定 了 测试 的 深度 和 质量 。 为 了 实现 给 定 的 测试 目标 ， 一 个 独立 的 测试 设 
计 技 术 是 不 够 的 ， 而 是 需要 大 量 的 补充 测试 设计 技术 ， 系 统 性 地 整合 成 为 一 个 整 
体 的 测试 策略 。 汽 车 谋 入 式 软 件 的 测试 方案 通常 根据 使 用 的 测试 范式 而 有 所 不 
同 。 由 于 不 同 的 执行 模型 可 以 利用 作为 附加 的 综合 信息 源 进行 测试 ， 因 而 这 就 在 
基于 模型 的 开发 中 产生 了 新 的 可 能 性 。 更 广泛 的 测试 可 能 性 允许 建立 更 加 灵活 的 测 
斌 方法。 特别 是 ， 成 本 较 低 的 模型 试验 可 以 首先 执行 。 然 后 ， 在 连续 执行 工件 之 
间 ， 可 以 进行 比较 性 的 背靠背 测试 ， 来 验证 从 一 个 工件 到 它 的 继承 者 之 间 的 过 渡 。 

测试 策略 需要 被 提前 决定 ， 且 被 置 于 主 测试 计划 之 中 ， 它 形成 单个 测试 等 级 
的 详细 测试 计划 的 基础 。 

动态 测试 除了 车 载 软件 在 质量 保证 方面 的 特殊 意义 外 ， 在 集成 测试 与 其 他 验 
证 和 检验 技术 方面 也 是 必 不 可 少 的 。 在 实践 中 ， 动 态 测试 与 自动 静态 分 析 和 人 工 
审查 相 结合 被 证 明 是 成 功 的 。 

















311 


@@ 汽 不 柑 入 式 系 统 手 册 


[Bal98] 


[BCS+03] 


[Bel98] 


[BN03] 


[CDF+99] 


[CDS+ 





+02] 


[CFP03] 


[CH98] 


[CK06] 


[Con01] 


[Con04a] 


[Con04b] 


[CS03] 


[CSW 


06] 


[DSS+01] 


[GG93] 


[Gri88] 


312 





H. Balzert. Lehrbuch der Software-Technik. Band 2, Spektrum Akademischer 
Verlag, 1998. 


A. Baresel, M. Conrad, S. Sadeghipour, and J. Wegener. The interplay between 
model coverage and code coverage. In: Proceedings of the Hth European Inter- 
national Conference on Software Testing, Analysis and Review (EuroSTAR 03), 
Amsterdam, the Netherlands, 2003. 


F. Belli: Methoden und Hilfsmittel fiir die systematische Prüfung komplexer 
Software. Informatik-Spektrum 21, S. 337-346, 1998. 


E. Broekman and E. Notenboom. Testing Embedded Software. Addison-Wesley, 
London, 2003. 


M. Conrad, H. Dörr, I. Fey, and A. Yap. Model based generation and structured 
representation of test scenarios. In: Proceedings of the Workshop on Software- 
Embedded Systems Testing (WSEST ’99), Gaithersburg, MD, 1999. 


M. Conrad, H. Dörr, I. Stürmer, and A. Schürr. Graph transformations for 
model-based testing. Lecture Notes in Informatics, LNI, P-12:39-50, 2002. 


M. Conrad, I. Fey, and H. Pohlheim. Automatisierung der Testauswertung für 
Steuergerätesoftware. VDI-Berichte, 1789:299-315, 2003. 


M. Conrad and D. Hötzer. Selective integration of formal methods in the devel- 
opment of electronic control units. In: Proceedings of the Second International 
Conference on Formal Engineering Methods (ICFEM ’98), Brisbane, Australia, 
pp. 144-155, 1998. 


M. Conrad and A. Krupp. An extension of the classification-tree method for 
embedded systems for the description of events. In: Proceedings of the Second 
ETAPS Workshop on Model Based Testing (MBT 2006), Vienna, Austria, pp. 1-9, 
2006. 

M. Conrad. Beschreibung von Testszenarien fiir Steuergeratesoftware- 
Vergleichskriterien und deren Anwendung. VDI-Berichte, 1646:381-398, 2001. 
M. Conrad. Modell-basierter Test eingebetteter Software im Automobil— 
Auswahl und Beschreibung von Testszenarien. Deutscher Universitiatsverlag, 
2004. 

M. Conrad. A systematic approach to testing automotive control software. In: 
Proceedings of the 30th International Congress on Transportation Electronics 
(Convergence ’04), Detroit, MI, pp. 297-308, 2004. 

M. Conrad and E. Sax. Mixed signals. In: Testing Embedded Software. Addison- 
Wesley, London, pp. 229-249, 2003. 

M. Conrad, S. Sadeghipour, and H.-W. Wiesbrock. Automatic evaluation of 
ECU software tests. In Proc. SAE World Congress 2005, Journal of Passenger 
Cars—Mechanical Systems, SAE International, Detroit, MI, March 2006. 

M. Dornseiff, M. Stahl, M. Sieger, and E. Sax. Durchgangige Testmethoden 
fiir komplexe Steuerungssysteme—Optimierung der Priiftiefe durch effiziente 
‘Testprozesse. VDI-Berichte, 1646:347-366, 2001. 

M. Grochtmann and K. Grimm. Classification trees for partition testing. Soft- 
ware Testing, Verification and Reliability, 3:63-82, 1993. 

K. Grimm. Methdoden und Verfahren zum systematischen Testen von Soft- 
ware. Automatisierungstechnische Praxis atp, 30(6):271-280, 1988. 


第 11 音 ”汽车 控制 软件 测试 @@ 





[Gri95 


] 


[GS05] 


[Hat97] 


[HTO] 


[IEFE 610.12] 


[ISO 15497] 


] 


[LBE+04] 


[Lig90] 


[Lig92 


[Mye7 


] 


9] 


[Rau02] 


[RCK4 


+00] 





[RWS+01] 


[Sim97] 


[SL] 


[SF] 


[SWM02] 


[SZ05] 


K. Grimm. Systematisches Testen von Software—Eine neue Methode und eine 
effektive Teststrategie. Dissertation, GMD-Bericht Nr. 251, Oldenbourg, 1995. 
M. Grochtmann and L. Schmuhl. Systemverhaltensmodelle zur Spezifikation 
bei der modellbasierten Entwicklung von eingebetteter Software im Auto- 
mobil. In: Proceedings of the Modellbasierte Entwicklung eingebetteter Systeme 
(MBEES05), Dagstuhl, Germany, 2005, pp. 37-42. 

D. Hotzer. Schaltstrategieentwurf mit Statemate unter Einbindung kontinuier- 
licher Modelle zur Softwareverifikation. In: Proceedings of the Fifth Statemate 
Anwenderforum, Miinchen, Germany, 1997. 

R. Helldérfer and U. Teubert. Automated software verification at TEMIC. 
ASPACE News 1/2001. 

IEEE Std. 610.12-1990. IEEE Standard Glossary of Software Engineering Ter- 
minology. Institute of Electrical and Electronics Engineers, Inc., New York, 
1990. 

ISO/TR 15497:2000. Road Vehicles—Development Guidelines for Vehicle Based 
Software. International Organization for Standardization, Geneva, Switzerland, 
2000. 

K. Lamberg, M. Beine, M. Eschmann, R. Otterbach, M. Conard, and I. Fey. 
Model-based testing of embedded automotive software using MTest. In: Proc. 
SAE World Congress 2004, Detroit, MI, March 2004. 

P Liggesmeyer. Modultest und Modulverifikation: State of the Art. Angewandte 
Informatik Band Vol. 4, Bl-Wissenschaftsverlag, Mannheim, Wien, Zürich, 
1990. 

P. Liggesmeyer. Testen, Analysieren und Verifizieren von Software—eine klassi- 
fizierende Ubersicht der Verfahren. In: P. Liggesmeyer et al. (HrsgEds.): Testen, 
Analysieren und Verifizieren von Software. Reihe Informatik aktuell, S. 1-25, 
Springer, Berlin, 1992. 

G. J. Myers. ‘The Art of Software Testing. John Wiley & Sons, New York, 1979. 

A. Rau. Verwendung von Zusicherungen in einem modellbasierten Entwick- 
lungsprozess. Informationstechnik und Technische Informatik it + ti, 44(3):137- 
144, 2002. 

A. Rau, M. Conrad, H. Keller, I. Fey, and C. Dziobek. Integrated model-based 
software development and testing with CSD and MTest. In: Proceedings of the 
International Automotive Conference (IAC), Stuttgart, Germany, 2000. 

C. Ritter, J. Willibald, E. Sax, and K. D. Miiller-Glaser. Entwurfsbegleitender 
Test fiir die modellbasierte Entwicklung eingebetteter Systeme. 13. In: Workshop 
Testmethods and Reliability of Circuits and Systems, Miesbach, Germany, 2001. 
D. Simmes. Entwicklungsbegleitender Systemtest fiir elektronische Fahrzeugs- 
teuergerate. Herbert Utz Verlag Wissenschaft, 1997, 

The MathWorks, Inc.: Simulink®—Simulation and Model-Based Design. 
www.inathworks.com/products/simulink (2007/01/10). 

The MathWorks, Inc.: Stateflow® —Design and simulate state machines and 
control logic. www.mathworks.com/products/stateflow (2007/01/10). 

E. Sax, J. Willibald, and K. D. Miiller-Glaser. Seamless testing of embedded 
control systems. In: Third IEEE Latin-American Test Workshop, Montevideo, 
Uruguay, 2002. 

J. Schauffele and T. Zurawka. Automotive Software Engineering—Principles, 
Processes, Methods, and Tools. SAE International, 2005. 


313 


@@ 汽 不 柑 入 式 系 统 手 册 


[TAV96] 


[UPL06] 


[Wat82] 


[WCF+02] 


[Weg01] 


[WGP02] 


314 





Fachgruppe 2.1.7 Test, Analyse und Verifikation von Software (TAV) der 
Gesellschaft fiir Informatik (GI): Begriffsdefinitionen im Testbereich.Working 
Draft, 1996. 


M. Utting, A. Pretschner, and F Legeard. A taxonomy of model-based testing. 
Technical report 04/2006, Department of Computer Science, The Universiy of 
Waikato, New Zealand, 2006. 

M. L. Watkins. A technique for testing command and control software. Com- 
munications of the ACM, 25(4):228-232, 1982. 

H.-W. Wiesbrock, M. Conrad, I. Fey, and H. Pohlheim. Neue automa- 
tisierte Auswerteverfahren fiir Regressions- und Back-to-back-Tests eingebet- 
teter Regelsysteme. Softwaretechnik-Trends, 22(3):22-27, 2002. 

J. Wegener. Evolutionarer Test des Zeitverhaltens von Realzeit-Systemen. Shaker 
Verlag, 2001. 

S. Weber, A. Graf, and D. Peters. Automated integration testing of powertrain 
software with LabCar ST. In: Proceedings of the ETAS Competence Exchange 
Symposium 2002, Stuttgart, Germany, 2002. 


第 12 章 ”基于 FlexRay 应 用 模块 的 
测试 和 监控 





12.1 基于 FlexRay 应 用 模块 介绍 





早已 开发 出 用 于 未 来 汽车 车 载 控制 应 用 模块 的 FlexRay ， 该 模块 需 具备 高 速 
数据 传递 频率 、 唯 一 性 和 能 够 支持 故障 容错 。 基 于 FlexRay 系统 的 应 用 领域 包括 
动力 总 成 、 底 盘 总 成 以 及 车 身 控制 。 男 外 ，FlexRay 被 认为 是 连通 若干 个 主要 电 
子 控制 单元 (ECU) 的 骨干 网 络 。 本 音 重 点 介绍 通过 FlexRay 连接 应 用 的 测试 和 
监控 的 概念 。 


12.1.1 系统 架构 


当 我 们 描述 系统 架构 的 时 候 ， 一定 要 区 分 系统 架构 的 软件 和 硬件 两 个 方面 。 
本 章 的 硬件 架构 部 分 为 我 们 展示 了 现今 汽车 系统 的 艺术 性 。 本 章 呈 现 的 软件 架构 
遵循 了 汽车 开放 系统 架构 (AUTOSAR) REL! ( 见 第 2 章 )。 当 然 , 为 了 简洁 、 
清晰 和 简化 ， 我 们 做 了 适当 的 简化 〈 即 一 些 不 必要 的 细节 有 时 候 会 被 省 略 ) 。 

12.1.1.1 硬件 架构 

汽车 系统 的 硬件 架构 可 以 在 不 同 的 抽象 层次 上 查看 。 

“系统 级 ”是 抽象 程度 最 高 的 。 汽 车 系统 由 一 系列 通过 网 关 互相 连接 的 网 络 
组 成 ， 如 图 12. 1 所 示 。 总 的 来 说 ， 这 些 网 络 对 应 于 现代 汽车 上 不 同 的 功能 域 
( 即 底盘 域 、 动 力 总 成 域 和 车 身 域 ) 。 

这 些 网 络 本 身 是 由 很 多 通过 通信 媒介 互相 联系 在 一 起 的 ECU 构成 的 〈 见 图 
12. 1 中 的 网 络 A、D 的 放大 图 ) 。 这 些 用 于 连通 的 物理 拓扑 结构 基本 上 是 任意 
的 ; 但 是 总 线 型 、 星 形 和 环形 拓扑 结构 还 是 汽车 上 最 常见 的 。 这 种 层次 被 称 为 
“网 络 层 次 ”， 它 代表 中 间 抽 象 层次 。 

需要 注意 的 是 从 概念 上 讲 ， 网 关 是 一 种 特殊 的 ECU， 它 实际 上 是 网 络 的 一 
个 成 员 ， 通 过 它 ， 网 络 就 互联 起 来 了 。 

“ECU 级 ”( 图 12.2) 是 抽象 程度 最 低 的 层次 。 在 这 里 ,我们 只 对 ECU WE 
要 功能 部 分 感 兴趣 。 一 个 ECU 是 由 一 个 或 者 更 多 的 微 控制 器 (MCU) 以 及 通信 
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图 12.1 硬件 架构 


系统 和 网 络 级 





控制 器 (CC) 组 成 的 。 在 多 数 情况 下 ，ECU 仅 由 一 个 MCU 和 一 个 CC 构建 
而 成 。 


执行 器 ”传感器 ”传感器 





环境 接口 





网 络 接口 














图 12.2 硬件 架构 ECU 层次 








为 了 能 够 控制 车 辆 的 物理 过 程 〈 比 如 控制 发 动机 的 喷 油 泵 ) ， 这 些 ECU 的 
MCU 通过 MCU 的 模拟 量 或 者 数字 量 的 “输出 ”端口 被 连接 到 执行 咒 上 。 为 了 提 
供 获 得 外 部 环境 信息 的 工具 ， 传 感 顺 被 连接 到 这 些 MCU 的 模拟 量 或 者 数字 量 的 
“输入 ”端口 上 。 我 们 称 这 些 接口 为 ECU 的 环境 界面 。 
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通信 控制 器 (CC) 促进 了 ECU 与 各 个 网 络 的 物理 连接 。 我 们 称 该 接口 为 
ECU 的 网 络 界面 。 因 此 这 些 由 网 关 ECU 控制 的 通信 控制 器 CC 的 数量 等 于 由 各 
自 网 关 所 连接 的 网 络 个 数 。 

12.1.1.2 软件 架构 

汽车 开放 系统 架构 (AUTOSAR) 中 软件 架构 在 应 用 软件 和 系统 软件 或 基本 
软件 之 间作 了 严格 的 区 分 。 当 基本 软件 或 系统 软件 为 汽车 通信 协议 (例如 
FlexRay) 、 操 作 系统 以 及 故障 诊断 模块 提供 像 通信 协议 栈 功能 时 ， 应 用 软件 是 由 
具有 具体 应 用 功能 〈 即 控制 环 路 、 与 传感器 和 执行 机 构 互 动 功能 ， 等 等 ) 的 软 
件 构成 。 这 样 一 来 ， 基 本 软件 或 系统 软件 提供 了 应 用 软件 建立 的 基础 。 

12.1.1.2.1 应 用 软件 

在 AUTOSAR 中 ， 应 用 软件 是 由 应 用 软件 组 件 构成 的 ， 这 些 组 件 有 独立 定位 
的 ECU 以 及 由 于 要 依附 于 ECU 硬件 而 不 能 独立 定位 的 传感器 一 执行 机 构 组 件 。 
虽然 这 些 组 件 可 以 很 容易 地 被 布置 并 且 在 不 同 的 ECU 之 间 重 新 定位 ， 但 是 传 感 
器 一 执行 机 构 的 组 件 因 为 性 能 /效率 的 原因 ， 必 须 布 置 在 特定 的 ECU 上 。 
AUROSAR 组 件 标准 支持 在 一 个 ECU 上 安置 多 个 同样 的 应 用 组 件 。 一 个 简单 的 例 
子 就 是 一 个 ECU 可 以 带 两 个 宛 余 传 感 句 。 在 这 种 方案 中 ， 两 个 单独 的 传感器 组 
件 被 布置 在 一 个 ECU 上 ， 每 个 组 件 都 为 两 个 ECU 中 的 一 个 提供 恰当 的 服务 。 

应 用 软件 组 件 和 传感器 一 执行 机 构 组 件 通 过 称 为 连接 器 的 互相 和 连接。 这些 连 
接 絮 代表 数据 交换 ， 这 些 数据 在 汽车 域 在 连接 器 之 间 通 常 被 称 为 “信号 ”。 特 
性 、 要 求 和 对 信号 交换 的 约束 规定 为 各 自 连接 器 的 属性 。 因 此 ， 下 面 考虑 特性 、 
要 求 和 约束 的 类 型 。 

12.1.1.2.1.1 时 序 特性 和 要 求 

这 个 类 别 的 要 求 定 义 了 信和 号 交换 的 时 间 特 性 ， 它 们 包括 发 生 、 周 期 、 延 时 和 
跳动 。 就 关注 的 信号 交换 “发 生 ” 而 言 ， 可 以 区 分 周期 性 交换 、 零 星 交 换 和 非 周 
期 性 交换 。 尽 管 对 于 周期 性 交换 和 零星 交换 ， 对 两 个 连续 信和 号 交换 之 间 的 时 间 长 度 
的 约束 可 以 指定 ,但 是 对 于 非 周 期 性 交换 却 没有 这 样 的 约束 。 信 号 交换 的 “周期 ” 
在 这 里 就 是 指 周期 信号 中 在 两 个 连续 信号 交换 之 间 的 时 间 长 度 (如 图 12.3 中 的 P 
所 示 ) 。 在 零星 信号 中 ， 周 期 是 指 两 个 连续 的 信号 交换 之 间 的 最 短 时 间 长 度 (有 时 
也 被 称 为 最 小 时 间 间 隔 )。 对 于 非 周 期 性 信号 ， 周 期 特性 并 不 需要 。 信 号 交换 的 
“延迟 ”( 图 12.3 PHY L) 被 定义 为 发 送 端 传输 信和 号 开始 [ 即 发 送 应 用 软件 组 件 请 
求 发 送 应 用 软件 界面 (API) 服务 的 这 个 时 间 点 ] 到 接收 端 收 到 信号 ( 即 接收 的 信 
号 在 应 用 软件 组 件 能 接收 到 信号 的 这 个 时 间 点 ) 之 间 的 时 间 间 隔 。 假 定 周期 /零星 
言 号 的 特性 通过 一 个 给 定 的 网 络 交换 ， 我 们 就 能 评估 出 每 个 信号 的 最 大 延迟 ; 例如 
在 参考 文献 [2] 中 ， 该 作者 为 我 们 介绍 了 如 何 评估 FlexRay 网 络 中 的 最 坏 的 延迟 
情况 。 而 在 本 书 的 第 13 章 ， 提 供 了 针对 CAN 网 络 相 同 特性 的 评估 方法 。 可 以 对 信 
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phi He tig agai naka arte 
L,,、， 或 者 施加 的 平均 值 M [例如 CS, L,/i)] 必须 等 于 图 12.3 PHM) KERI 
测 到 的 特殊 信号 的 延迟 对 平均 延迟 的 偏差 被 称 为 “跳动 *。 由 于 最 小 化 跳动 对 保证 
高 质量 分 布 式 控制 环 路 具有 极其 重要 的 意义 ， 所 以 “最 大 容许 延迟 跳动 ”是 连接 
器 的 另 一 个 重要 指标 [例如 图 12.3 H, abs (L,-M) 必须 要 小 于 一 个 给 定 的 值 
Jinx ] 。 特 别 指出 ， 传 输 保 真 的 要 求 (例如 ， 保 真 VS 尽力 传输 ) 可 以 很 容易 通过 
平均 延迟 和 最 大 容许 跳动 参数 来 表达 。 特 别 地 ， 对 一 个 连接 器 设置 一 个 平均 延迟 指 
标 ， 比 如 一 个 有 限 的 数 ， 且 要 求 最 大 跳动 小 于 一 个 特定 的 值 ， 这 样 就 制定 了 一 个 其 
跳动 是 有 界 的 保 真 传输 要 求 ; 但 是 ， 对 一 个 连接 器 设置 一 个 无 限 大 的 平均 延迟 ， 并 
且 要 求 其 最 大 跳动 小 于 一 个 特定 的 值 ， 这 样 制定 了 一 个 不 能 保 真 传输 的 要 求 ， 该 传 
输 在 发 生 时 有 一 个 有 界 的 跳动 。 

















信号 传输 
P 传输 周期 
万 第 ;个 周期 中 的 信号 延迟 
y 在 发 送 端 信号 传输 事件 
è 在 接受 端 信号 接受 事件 














图 12.3 周期 信号 交换 特征 





12.1.1.2.2 容错 要 求 

这 个 类 别 的 要 求 定义 了 信和 号 交换 的 容错 特性 ， bso belie 类 型 、 元 余 
度 以 及 针对 确定 的 元 余 类 型 的 附加 参数 。 就 关注 的 “ 宛 余 类 型 ”来 看 ， 可 以 区 
分 空间 宛 余 〈 即 信号 通过 多 个 物理 通 a. 和 时 间 元 余 ( 即 在 一 定 
的 间隔 内 多 次 交换 同样 的 信号 值 ) 。 不 同 的 物理 通信 通道 数 和 规定 间隔 内 宛 余 
信号 交换 次 数 就 用 “ 宛 余 度 ” 特 性 来 定义 。 由 于 两 种 类 型 的 元 余 (F ieee 
间 的 ) 可 以 组 合用 于 单个 信号 交换 ， 所 以 需要 对 空间 宛 余 和 时 间 宛 余 特 性 进行 
分 开 请 求 。 对 于 时 间 宛 余 ， 需 要 一 个 额外 的 属性 来 描述 两 次 连续 的 、 重 复 的 信和 号 
交换 的 最 小 时 间 间 隔 。 这 个 属性 存在 的 合理 性 在 于 有 这 样 的 需求 ，( 比如 ) 在 一 
个 最 大 时 间 段 e 内 的 突 发 干扰 需要 被 容许 。 在 这 种 情况 下 ， 为 了 保证 干扰 被 容 
许 ， 必 须 保证 两 个 连续 重复 的 信号 交换 之 间 的 最 小 容许 时 间 间 隔 大 于 最 大 的 突 发 
干扰 持续 时 间 as。 针对 时 分 多 址 (TDMA) 为 基础 的 协议 、 如 何 确定 重复 值 分 布 
A ed 明确 地 规定 宛 余 类 型 是 不 需要 的 ， 因 
为 这 些 信息 已 经 被 空间 和 时 间 宛 余 度 隐 性 地 定义 了 。 
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12. 1. 1.2.3 基本 或 系统 软件 

除了 应 用 软件 组 件 ，AUTOSAR ne 
架构 ， 这 些 系 统 软件 为 执行 应 用 软件 组 件 提供 了 运行 : 

AUTOSAR 基本 软件 横向 细 分 为 不 同类 型 的 服务 ， ENE: 

。 输 入 /输出 (10) 服务 ， 它 提供 标准 化 访问 传感器 、 执 行 机 构 以 及 FECU 
车 载 外 设 ; 

。 记忆 服务 ， 它 方便 访问 内 部 和 外 部 (主要 性 能 稳定 ) 存储 器 ; 

。 系统 服务 ， 包 含 诸如 操作 系统 、ECU 状态 管理 等 模块 ; 

。 最 后 ， 也 是 最 重要 的 是 通信 服务 ， 它 提供 了 一 个 访问 不 同 车 载 网 络 [ 即 

本 地 互联 网 络 (LIN) 、 控 制 器 局 域 网 络 (CAN) 和 FlexRay]」 的 通信 栈 。 

通信 服务 

通信 服务 是 一 组 用 于 车 辆 通信 (CAN、LIN 和 FlexRay) 的 模块 。 图 12.4 描述 了 
通信 服务 模块 所 建立 的 通信 栈 。 灰 色 的 格子 表示 通信 协议 专用 模块 , “XXX” 是 各 个 
通信 协议 (ECAN, LIN 和 FlexRay) 的 占 位 符 。 因 此 ，AUTOSAR 通 信服 务 包含 了 通 
信 协 议 下 具体 的 传输 协议 (TP) 和 网 络 管理 (NM), 





AUTOSAR 运 行 环 境 





12.4 AUTOSAR 通信 服务 
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XXX TP; 在 AUTOSAR 中 ，TP 是 用 来 为 大 型 通信 数据 单元 (被 称 为 消息 ) 
进行 分 段 和 重组 的 ， 这 些 消息 是 由 诊断 通信 管理 器 (DCM) 传输 和 接收 的 。 专 
用 的 TP 用 于 每 个 通信 协议 (CAN, LIN 和 FlexRay) 。 这 些 协议 都 很 相似 ， 甚 至 
45 ISO/DIS 15765 -2. 2 规定 的 CAN (在 特定 的 设置 下 ) ISO TP RRM 。 

PDU 路 由 器 : PDU 路 由 模块 提供 了 两 类 主要 服务 。 一 方面 ， 它 把 通过 底层 
接口 (比如 FlexRay 接口 ) 接收 到 的 这 些 数据 单元 (PDU) 发 送 到 更 高 层面 
(COM, DCM) 中 去 。 另 一 方面 ，PDU 路 由 器 通过 把 这 些 数据 单元 (PDU) 从 一 
个 接口 转发 到 另 一 个 一 样 的 〈 例 如 FlexRay 到 FlexRay) 或 者 不 同 的 接口 (例如 
CAN 到 FlexRay) ， 从 而 扮演 了 不 同 通信 网 络 之 间 网 关 的 功能 。 

COM: COM 模块 向 高 层次 的 运行 环境 (RTE) 提供 了 基于 信和 号 的 通信 。 
COM 提供 的 基于 信号 的 通信 服务 可 以 被 用 于 ECU 内 部 或 者 各 ECU 之 间 的 通信 。 
在 前 一 种 情况 中 ，COM 主要 用 共享 的 内 存 来 进行 ECU 内 部 通信 ， 然 而 在 后 一 种 
情况 中 ，COM 将 大 量 的 数据 打包 到 信号 发 送 端 的 PDU 中 ， 然 后 把 这 个 PDU AIK 
到 PDU 路 由 器 中 ， 其 目的 是 通过 各 个 的 接口 将 PDU 进行 传输 。 在 信和 号 接收 端 ， 
COM 从 PDU 路 由 器 那里 获得 PDU, WEMA PDU 中 提取 出 信号 ， 接 着 把 提取 出 的 
言 号 转发 到 更 高 的 软件 层 。 

DCM: DCM 通过 通信 网络 (BI CAN, LIN 和 FlexRay) 提供 允许 测试 设备 控 
制 ECU 的 诊断 功能 的 服务 。DCM 支持 KWP2000[5] ， 它 在 ISOZDIS 14230 - 3 中 
已 标准 化 ; 也 支持 统一 的 诊断 服务 协议 (UDS)! 中 ， 它 在 ISOLDIS 14229 -1 中 
已 标准 化 。 

NM; NM 提供 的 工具 使 得 网 络 中 的 ECU 在 进入 和 退出 低 耗 能 (其 至 关机 状 
aS) 的 睡眠 模式 可 以 有 一 个 平稳 的 过 渡 。AUTOSAR NM 被 分 为 两 种 模块 : 独立 
于 通信 协议 的 模块 (通用 NM) 和 依赖 于 通信 协议 的 模块 (CAN NM, LIN NM 
和 FlexRay NM), 

XXX 接口 : 接口 模块 有 专门 的 协议 ， 意 味 着 不 同 的 通信 协议 (EI FlexRay、 
CAN 和 LIN) 存在 各 自 专门 的 接口 。 基 于 各 种 驱动 ( 见 下文 ) 提供 的 基于 帧 的 
服务 ， 接 口 模块 方便 了 PDU 的 发 送 和 接受 。 大 量 PDU ERX ECU 处 被 打包 成 一 
帧 ， 并 且 在 接收 ECU 处 被 再 一 次 提取 出 来 。 在 FlexRay H, PDU 被 打包 和 提取 
的 时 间 点 ， 以 及 包含 这 些 被 打包 的 PDU 的 帧 被 移交 给 各 自 的 驱动 或 者 被 接收 端 
驱动 恢复 的 时 间 点 ， 均 被 叫做 FlexRay 接口 通信 操作 的 时 间 调 度 所 控制 。 因 此 每 
个 通信 作业 都 是 由 一 个 或 多 个 “通信 操作 ”构成 的 ， 且 其 中 每 个 通信 操作 都 精 
确 地 处 理 一 个 通信 帧 (包括 帧 里 所 含 的 PDU), 

XXX 驱动 : 和 接口 模块 一 样 ， 驱 动 模块 也 有 专门 的 协议 。 驱 动 模块 通过 各 
个 CC 协助 帧 的 传输 和 接收 ， 从 而 为 接口 模块 提供 了 基础 。 

RTE; AUTOSAR RTE 在 应 用 软件 组 件 和 基本 软件 模块 之 间 提 供 了 接口 ， 同 
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时 也 为 应 用 软件 组 件 之 间 的 通信 提供 了 基础 设施 服务 。 

应 用 程序 层 : 事实 上 ， 因 为 这 个 层面 包含 了 AUTOSAR 的 应 用 软件 组 件 (将 
在 12.4 节 中 详 述 )， 所 以 这 个 层面 并 不 是 AUTOSAR 基本 软件 模块 软件 层 架 构 中 
的 一 部 分 。 

当 我 们 观察 FlexRay 驱动 、FlexRay 接口 、FlexRay 传输 协议 和 COM AY, A 
同 抽象 层次 与 不 同 粒度 层面 一 一 分 别 被 称 为 帧 层面 、PDU 层面 、 消 息 层面 和 信 
号 层面 的 通信 得 到 了 加 速 。 注 意 以 上 提 到 的 所 有 要 求 都 可 以 用 于 不 同 的 抽象 
层面 。 


12.1.2 FlexRay 协议 


在 2000 F, 宝马 、 戴 姆 勒 - 克莱斯勒、 飞利浦 和 飞 思 卡 尔 (摩托 罗拉 ) E 
立 了 FlexRay 联盟 !'*] ， 旨 在 为 汽车 日 次 增加 的 安全 、 可 靠 和 舒适 要 求 ， 进 行 高 
速 控制 应 用 ， 研 发 一 种 新 型 通信 协议 。 从 那 时 起 到 现在 ， 这 个 联盟 已 经 拥有 了 
100 多 个 成 员 ， 包 括 一 些 汽 车 工业 中 最 大 最 有 影响 力 的 成 员 ， 比 如 通用 汽车 、 福 
特 和 博世 等 。 在 2006 年 ， 宝 马公 司 第 一 次 在 XS 系列 的 汽车 上 实施 了 基于 
FlexRay 系列 的 应 用 "1] ， 在 道路 上 展示 了 这 项 新 通信 技术 的 性 能 。 

FlexRay 协议 提供 了 快速 、 确 定 、 容 错 的 通信 技术 ， 克 服 了 以 前 汽车 域 中 建 
立 的 协议 的 性 能 局 限 性 ， 比 如 控制 器 局 域 网 络 (CAN)。 因 此 ，FlexRay 支持 两 
个 通信 通道 ， 每 个 通道 的 数据 传输 率 可 以 达到 10Mbit/s。 FlexRay 通信 方案 包括 
了 一 个 静态 部 分 和 一 个 动态 部 分 。 静 态 部 分 传输 的 数据 是 确定 的 ， 并且 保 证 了 帧 
的 延迟 和 跳动 ; 而 动态 部 分 为 异步 数据 传输 提供 了 灵活 的 带宽 分 配 。 对 于 
FlexRay 协议 的 部 署 ， 所 有 通信 方案 的 参数 比如 静态 和 动态 部 分 的 长 度 和 特征 参 
数 都 必须 静态 设置 。 这 些 参 数 很 大 程度 上 取决 于 应 用 需求 。 

测试 和 监控 的 方案 必须 考虑 FlexRay 的 详细 设置 参数 。 此 外 ， 静 态 和 动态 部 
分 确定 的 时 序 可 以 被 用 来 建立 高 效 的 仿真 环境 。 

更 多 关于 FlexRay 静态 和 动态 部 分 的 细节 以 及 时 序 ， 请 参阅 第 5 草 。 


12.2 测试 与 监控 目标 



















































































汽车 系统 经 常 不 得 不 满足 可 靠 性 要 求 ， 这 是 因为 这 类 系统 固有 的 关键 安全 性 
(尤其 是 关注 的 底盘 ) 。 根 据 Laprie 等 的 观点 中， 测试 是 建立 预期 数量 可 靠 性 的 
一 种 方式 。 通 过 测试 ， 可 以 达到 以 下 目标 。 

缺陷 去 除 : 在 系统 开发 的 阶段 ， 测 试 可 以 找 出 系统 的 缺陷 ， 并 且 排 除 这 些 缺 
陷 ， 因 此 系统 的 可 靠 性 得 以 提高 。 

缺陷 预测 : 当 车 辆 在 真实 路 况 下 运行 并 且 当 系统 配 上 真实 环境 的 信号 输入 
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时 ， 在 部 署 系统 之 前 ( 即 在 量 产 汽车 之 前 ) 就 可 以 评估 缺陷 的 频率 和 其 严重 度 。 
在 这 些 数 据 的 基础 上 ， 就 可 以 预测 现场 出 现 的 故障 。 

总 的 来 说 ， 可 以 区 分 开 静 态 测 试 和 动态 测试 。 静 态 测试 包含 不 运行 系统 而 对 
系统 进行 验证 的 做 法 。 诸 如 静态 分 析 或 者 通过 样本 发 动机 来 验证 理论 的 方法 就 属 
于 这 类 做 法 。 鉴 于 非 FlexRay 系统 的 静态 测试 和 FlexRay 系统 的 静态 测试 没有 本 
质 的 区 别 ， 所 以 我 们 这 里 不 再 进一步 讨论 静态 测试 。 

在 动态 测试 中 ， 系 统 在 一 组 设 定 的 激励 (所谓 的 测试 向 量 ) 下 运行 ， 基 于 
对 这 些 测试 激励 的 系统 响应 来 判断 这 个 系统 是 否 按照 其 规范 运行 ， 以 及 系统 响应 
是 否 偏离 了 其 规范 。 这 种 对 系统 规范 的 偏差 定义 为 系统 的 失效 。 

然而 在 对 一 个 系统 进行 动态 测试 的 时 候 ， 用 恰当 的 方法 监控 和 记录 下 被 测试 
设备 (DUT) 对 测试 激励 的 响应 是 很 重要 的 。 在 网 络 系统 中 ,测试 激励 很 大 程 
度 上 可 以 由 通信 媒介 提供 。 相 类 似 地 ，DUT 的 响应 在 很 大 程度 上 也 可 以 在 通信 
媒介 中 观测 到 。 因 此 ， 为 了 恰当 地 测试 (部 分 ) 网络 系 统 ， 一 些 监 控 网 络 通信 
的 设备 以 及 一 些 可 以 通过 网 络 提 供 激励 的 设备 都 是 必需 的 。 


12.2.1 测试 和 监控 标准 


当 我 们 测试 一 个 (或 部 分 ) 系统 的 时 候 ， 我们 主要 感 兴 趣 的 是 这 个 系统 是 
否 按照 其 规定 做 出 响应 或 者 观测 到 的 响应 是 否 偏 离 了 系统 的 规定 。 这 种 偏离 可 以 
发 生 在 时 域 、 值 域 或 者 代码 域 。 

12.2.1.1 时 域 偏差 

当 寻 找 时 域 偏 差 的 时 候 ，12. 1. 1.2.1 节 中 列 出 的 时 序 相关 的 要 求 都 要 考虑 
到 ， 并 且 要 在 各 个 不 同 的 粒度 层面 上 应 用 ( 即 帧 层面 、PDU 层面 、 消 息 层面 和 
信和 号 层面 ) 。 

从 关注 的 连接 器 的 周期 要 求 来 看 ， 必 须 进 行 测试 来 验证 周期 或 零星 信息 交换 
时 观测 到 的 周期 与 所 要 求 的 周期 匹配 。 在 FlexRay 中 ， 对 于 在 静态 部 分 调度 的 
帧 ， 这 个 周期 被 无 故障 情形 的 FlexRay 协议 来 保证 ;对 于 在 确保 的 动态 部 分 调度 
的 帧 ， 观 测 到 的 周期 偏离 的 最 大 值 几乎 是 整个 动态 部 分 的 长 度 ， 如 图 12. 5 所 示 。 

图 12.5 的 顶部 给 出 了 这 样 一 个 案例 ， 在 帧 D (对 于 观测 周期 ) 之 前 的 小 时 
权 内 没有 发 送 任何 其 他 的 帧 ， 这 样 就 构成 了 一 个 完整 的 FlexRay 通信 循环 周期 。 
在 图 12.5 的 下 部 ， 则 描述 了 这 样 的 情形 ， 在 被 传输 的 帧 D 之 前 的 小 时 槽 内 被 其 
他 的 帧 占据 了 ，( 因 此 时 覃 长 度 变 长 ) 导致 帧 D 被 撞 到 了 通信 周期 的 最 后 ， 这 样 
观测 到 的 一 个 FlexRay 通信 循环 周期 的 长 度 外 加 了 几乎 〈 最 坏 的 情况 是 一 个 很 长 
的 帧 和 很 短 的 小 时 槽 ) 整个 动态 部 分 的 长 度 。 

对 于 最 费力 的 动态 部 分 内 容 ， 就 是 不 能 给 出 偏差 量 的 上 限 ， 这 是 因为 在 最 费 
力 动 态 部 分 调度 的 通信 帧 延迟 可 能 是 无 限 长 的 。 对 于 与 帧 不 同 的 数据 实体 (会 
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最 大 观察 周期 





ZZA 帧 信号 传输 
b 在 接收 端 帧 的 接受 事件 











图 12.5 在 确保 的 动态 部 分 中 的 观察 周期 
涉及 更 高 的 软件 层 ) ， 比 如 PDU、 消 息 或 者 是 信号 ， 周 期 也 被 FlexRay 接口 通信 
操作 时 间 调 度 控制 。 图 12. 6 显示 了 FlexRay 接口 通信 职责 时 间 调 度 对 发 送 指令 
请 求 ( 由 最 高 层 的 FlexRay 接口 发 出 ) 和 实际 通过 通信 媒介 发 送 事 件 (接收 端 也 
一 样 ) 之 间 的 延迟 的 影响 。 


FlexRay 接 口 
TX 通信 职责 





























较 高 SW 层面 的 延迟 











FlexRay 接 口 
RX 通 信 职 责 
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EZA 帧 信号 传输 
Y 在 发 送 端 帧 的 发 送 事件 
è 在 接收 端 帧 的 接收 事件 














图 12.6 FlexRay 接口 通信 操作 影响 





对 于 平均 延迟 要 求 ， 在 接收 端 观察 到 的 延迟 值 必须 测量 ， 并 且 必 须 计算 这 些 
延迟 的 平均 值 。 对 于 FlexRay 静态 部 分 传输 的 帧 信息 ，FlexRay 协议 本 吴 再 次 根 
据 静 态 调 度 ， 为 一 个 TDMA 时 槽 确定 了 一 个 恒定 延迟 。 在 静态 部 分 的 保 真 部 分 ， 
平均 延迟 将 位 于 动态 部 分 的 长 度 之 内 ， 如 图 12.7 所 示 。 然 而 在 最 费力 的 动态 部 
分 ， 如 果 网 络 负载 过 高 ， 那 么 平均 延迟 也 可 能 是 没有 上 限 的 。 
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对 于 不 同 于 帧 的 数据 实体 ， 比 如 PDU、 消 息 或 者 信号 ， 它 们 类 似 于 观测 到 
的 周期 ， 其 平均 延迟 也 被 FlexRay 接口 通信 职责 的 时 间 调 度 所 控制 。 

从 关注 的 最 大 延迟 跳动 要 求 来 看 ，FlexRay 协议 会 造成 在 静态 部 分 调度 的 帧 
在 一 个 单一 Macrotick 时 间 尺 度 内 显现 最 大 跳动 。 在 动态 部 分 保 真 段 调 度 的 帧 可 
能 会 显示 出 以 一 个 长 达 动 态 部 分 长 度 的 延 时 跳动 ( 即 图 12.7 P LSA LS A 
的 差 ) ， 而 最 费力 的 动态 部 分 调度 的 帧 可 能 会 被 无 限 地 延迟 ， 从 而 造成 一 个 无 限 
的 跳动 。 


















































帧 信号 传输 
在 发 送 端 把 帧 复制 到 CC 缓存 中 
b 在 接收 端的 CC 缓存 中 可 用 的 帧 


一- 
Y 














图 12.7 动态 部 分 的 延 时 和 延 时 跳动 


再 一 次 地 强调 ， 对 于 不 同 于 帧 的 数据 实体 ， 比 如 PDU、 消 息 或 者 信号 ， 其 
最 大 延迟 跳动 也 被 FlexRay 接口 的 通信 操作 的 时 间 调 度 所 控制 。 

为 了 测试 时 序 宛 余 度 要 求 ， 观 察 到 的 信息 交换 的 重复 次 数 是 需要 测量 的 ， 且 
要 和 需要 的 时 序 宛 余 度 进行 比较 。 因 为 无 论 是 FlexRay 还 是 AUTOSAR 基本 软件 ， 
它们 都 没有 对 时 序 宛 余 提 供 任何 内 在 的 支持 ， 所 以 更 合适 的 时 序 宛 余 度 处 理 要 交 
给 应 用 软件 来 完成 。 

FlexRay 部 分 支持 满足 两 个 连续 重复 的 信息 交换 之 间 的 最 小 时 长 。 通 过 调度 
更 合适 的 TDMA 时 槽 内 (在 时 槽 之 间 设 置 足够 的 时 间 间 隔 ) 的 重复 次 数 ， 因 而 
当 采 用 静态 部 分 时 、FlexRay 加 强 了 时 长 要 求 。 对 于 动态 部 分 ， 可 以 进行 最 坏 情 
况 的 计算 〈 假 设 连续 重复 微 时 槽 之 间 的 所 有 微 时 覃 都 空闲 ) ， 目 的 在 于 让 
FlexRay 协议 保证 这 项 要 求 。 但 是 由 于 这 种 方法 以 一 种 相当 消极 的 假设 为 基础 ， 
所 以 观测 到 的 时 间 间 隔 往往 要 比 最 小 时 间 长 度 要 长 。 

12.2.1.2 值 域 偏差 

我 们 可 以 观测 到 值 域 的 两 种 主要 偏差 。 首 先 ， 观 测 到 的 信息 内 容 是 无 效 的 ， 
因为 保护 校 验 码 [例如 对 于 FlexRay 帧 来 说 ， 它 是 帧 循环 元 余 校 验 码 (CRC) ] 
显示 信息 是 残缺 不 全 的 。 

其 次 ,信息 的 内 容 和 已 知 的 信息 内 容 是 不 同 的 ， 从 而 得 知 值 域 存在 偏差 。 然 
而 ,为 了 得 出 这 个 结论 ,我 们 需要 有 关 正 确信 息 的 知识 。 对 于 有 限 范围 内 的 信息 
实体 (例如 计数 值 ) ， 我 们 通常 可 以 得 到 有 关 正 确信 息 的 精准 知识 (例如 ， 因 为 
测试 者 知道 点 火 开 关 的 具体 位 置 ) 。 然 而 ， 对 于 相当 大 范围 内 的 信息 实体 ( 
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如 ， 对 于 一 个 32 位 的 信号 值 ) ， 大 多 数 情 况 下 我 们 只 能 知道 一 个 有 效 区 间 。 在 
这 种 情况 下， 我们 只 能 通过 这 些 有 效 区 间 验 证 观察 到 的 信息 内 容 。 

12.2.1.3 编码 域 偏差 

当 我 们 观察 编码 域 偏差 的 时 候 ， 需 要 考虑 以 下 方面 的 偏差 : 

1. 物理 层 的 位 编码 不 同 于 规范 。 这 种 偏差 大 多 由 收发 器 或 者 是 FlexRay 控制 
器 中 的 编码 单元 的 故障 引起 的 。 

2. 数据 链 路 层 的 帧 格式 不 同 于 FlexRay 规范 中 所 定义 的 格式 。 这 种 偏差 可 能 
由 于 FlexRay CC 发 射 器 单元 或 者 星 形 耦 合 器 出 错 引 起 。 

3. 最 后 一 点 ， 观 测 到 的 信号 打包 〈 即 信号 被 打包 成 帧 的 方式 ) 和 规定 的 帧 
内 信和 号 布局 不 一 致 。 这 种 偏差 最 可 能 是 由 于 AUTOSAR COM 层 的 错误 设置 引 
起 的 。 

12.2.1.4 其 他 偏差 

为 了 测试 空间 宛 余 度 要 求 ， 必 须 计 算 观 察 到 的 信息 交换 的 空间 重复 次 数 ， 并 
和 所 需 的 空间 宛 余 度 进行 对 比 。 为 了 达到 这 个 目的 ， 我 们 需要 监测 通信 系统 的 可 
用 通道 ， 以 观察 是 否 发 生 了 信息 交换 的 重复 。 


12. 2.2 测试 和 监控 操作 方案 


从 关注 的 操作 方案 来 看 ， 基 于 FlexRay 的 系统 (和 其 他 系统 一 样 ) 要 在 无 错 
的 情况 下 测试 ， 以 确保 系统 在 无 错 的 情况 下 能 正常 运行 。 

但 是 ,在 12. 1. 1 节 中 我 们 就 提 到 ， 研 发 HlexRay 是 用 在 与 安全 性 相关 的 应 
用 领域 中 的 部 署 。 因 为 用 于 安全 相关 的 系统 要 求 即使 存在 故障 的 情况 下 仍 能 继续 
运行 89， 所 以 本 质 上 要 求 系统 能 容纳 这 些 故 障 。 因 此 ， 与 安全 相关 的 系统 测试 也 
必须 在 有 故障 的 情况 下 运行 ， 这 是 因为 之 前 提 到 的 对 系统 容错 要 求 决 定 了 在 故障 
工 况 下 运行 是 系统 “正常 ”运行 方案 的 一 部 分 。 

为 了 能 够 测试 系统 的 容错 性 能 ， 故 障 条 件 必须 有 意识 地 引入 并 作为 各 个 测试 
案例 的 部 分 内 容 。 这 些 故 障 条 件 的 引入 被 称 为 故障 注入 。 根 据 故障 是 由 硬件 
(例如 ， 被 电磁 干扰 激发 ) 或 者 是 软件 〈 例 如 故意 改变 存储 带 中 二 进 制 的 值 ) 注 
入 ,我 们 分 别 把 它们 称 为 硬件 故障 注 人 和 软件 故障 注入 〈12.3.1.2 节 )。 


12.3 监控 与 测试 方法 


为 了 达到 以 上 章节 介绍 的 测试 目标 ， 可 以 使 用 不 同 的 监控 与 测试 方法 。 在 下 
面 ， 我 们 区 分 了 基于 软件 和 基于 便 件 的 测试 方法 。 基 于 软件 的 验证 采用 系统 的 仿 


























”只 要 出 现 这 些 故 障 的 次 数 与 频率 、 持 续 时 间 和 性 质 被 系统 故障 假设 覆盖 。 
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真 模型 来 分 析 其 应 用 状态 。 基 于 硬件 的 验证 方法 利用 系统 的 人 硬件 设置 来 进行 研 
究 。 这 两 种 方法 可 以 被 用 于 整个 系统 的 分 析 或 者 是 系统 的 部 分 分 析 ， 也 就 是 一 个 
或 很 多 个 ECU 的 分 析 。 在 本 节 ， 重 点 仍然 是 软件 运行 对 于 MCU 的 影响 ， 因 此 也 
即 对 应 用 层 和 基本 软件 层 的 影响 。 


12.3.1 基于 软件 的 验证 


基于 软件 的 验证 在 开发 阶段 的 早期 为 分 析 其 应 用 状态 提供 了 一 种 强 有 力 的 
工具 。 

12.3.1.1 FlexRay 抽象 层次 

对 于 每 个 仿真 来 说 ， 计 算 工 作 都 是 一 个 大 问题 。 要 建立 一 个 完整 的 FlexRay 
网 络 模型 是 一 项 异常 复杂 的 工作 : 分 布 式 ECU 一 一 它们 中 的 每 一 个 ECU 都 包含 
FlexRay 控制 器 和 带 有 系统 软件 层 和 应 用 层 的 MCU。 此 外 ， 这 些 网 络 之 间 可 以 通 
过 网 关 与 其 他 网 络 连接 ， 如 图 12. 1 所 示 。 

为 了 最 小 化 这 种 仿真 的 复杂 度 ， 仅 对 应 用 程序 的 建 模 列 出 全 部 细节 。 由 于 利 
用 了 FlexRay 协议 确定 性 的 时 序 行 为 ， 所 以 FlexRay 控制 器 和 网 络 模型 都 被 大 大 
简化 了 。 因 此 ， 我 们 将 会 介绍 总 体 架 构 和 时 序 层面 上 所 谓 的 抽象 层 。 

12.3.1.1.1 架构 层面 

如 同 在 12. 1. 1.1 节 介 绍 的 一 样 ，FlexRay 网 络 架 构 由 通过 共享 通信 媒介 互相 
连接 的 ECU 构成 。 每 个 ECU 包括 一 个 或 多 个 FlexRay 控制 器 和 MCU。 应 用 层 和 
基本 软件 层 在 MCU 上 运行 。 应 用 层 包 括 一 系列 软件 组 件 ， 它 们 实施 实际 的 应 用 
功能 [例如 ， 防 抱 死 系统 (ABS) 的 计算 程序 ]。 系 统 软 件 层 通过 FlexRay 控制 
器 为 传送 和 接收 数据 提供 了 工具 和 服务 。 应 用 软件 组 件 利 用 基本 软件 层 提 供 的 服 
Z, 来 和 在 其 他 ECU 上 运行 的 软件 组 件 通信 。 

图 12. 8 描述 了 这 种 带 两 个 接口 的 ECU 架构 。 首 先 在 应 用 层 和 基础 软件 层 之 
间 存 在 所 谓 的 应 用 接口 (AID), HKE MCU 的 软件 基础 层 和 FlexRay 通信 控制 器 
之 间 存 在 控制 锅 -主机 控制 接口 (CHI) 。 这 些 接口 方便 了 仿真 的 进行 。 

1. 应 用 接口 

在 这 个 层面 上 ， 仿 真 模型 拥有 应 用 软件 组 件 的 所 有 功能 。 模 拟 基本 软件 层 和 
FlexRay 控制 器 的 硬件 的 功能 提供 应 用 接口 (AI) 。 

Al 是 一 个 基于 信号 的 接口 ， 可 以 依照 基本 软件 层面 以 及 FlexRay 控制 器 的 时 
FE, 发 送 更 新 的 信号 。 在 仿真 中 使 用 这 种 接口 可 以 对 仿真 模型 做 相当 程度 的 
简化 。 

这 里 只 需要 考虑 信号 更 新 的 时 序 问题 。 像 信号 是 如 何 被 打包 成 帧 以 及 
FlexRay 的 时 序 这 样 的 细节 问题 ， 建 模 时 无 须 考虑 它们 。 

2. 控制 器 - 主机 接口 
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应 用 层 应 用 层 
应 用 接口 (AD 应 用 接口 (AD 








图 12.8 架构 上 的 抽象 层 下 














应 用 软件 组 件 和 基本 软件 层 的 所 有 功能 在 这 个 层面 上 进行 仿真 ， 而 与 此 同 
时 ，FlexRay 通信 控制 器 的 功能 也 被 仿真 ， 因 此 提供 了 CH (控制 器 - 主机 接 
口 ) 抽象 。 

CHI 可 以 被 建 模 成 一 个 基于 缓冲 的 接口 ， 它 根据 FlexRay 的 时 序 传递 帧 的 更 
新 。 在 模拟 中 ， 建 立 这 样 的 接口 也 使 仿真 简化 不 少 。 这 里 仅 需 考虑 帧 更 新 的 时 序 
问题 。FlexRay 控制 器 功能 ， 如 时 钟 同步 和 启动 等 问题 在 建 模 时 无 须 详细 考虑 。 

3. 物理 层 接口 

最 后 也 可 以 看 到 这 个 接口 : 物理 层 接口 (PLI) ， 它 位 于 FlexRay 通信 控制 器 
功能 和 网 络 物理 层 之 间 。 这 个 层面 的 仿真 基本 上 没有 什么 意义 ， 这 是 因为 仿真 精 
确 的 位 时 序 〈 在 这 个 抽象 层 上 是 需要 这 样 的 时 序 的 ) 需要 大 量 的 计算 工作 。 但 
是 要 注意 的 是 ， 对 于 基于 硬件 的 验证 (12.3.2 节 )，PLI 是 容易 产生 故障 的 一 个 
重要 接口 ， 故 应 该 在 验证 流程 中 把 它 考 虑 进去 。 

12.3.1.1.2 时 序 层 

通过 选择 足够 的 时 序 分 辨 率 ， 也 将 大 大 促进 仿真 。 由 于 FlexRay 协议 的 时 间 
驱动 特性 ， 数 据 的 传输 是 由 预 设 的 时 序 点 触发 的 。 这 种 时 序 层次 (12.1.2 4) 
可 以 用 来 引入 时 序 层 面 的 抽象 。 

1. 时 序 层 1: 通信 循环 

在 这 个 时 序 层面 上 ， 帧 和 所 包含 的 信号 的 更 新 是 以 通信 周期 的 尺度 进行 的 。 
如 图 12. 9 所 示 ， 在 每 个 通信 周期 的 开始 和 结束 处 ， 所 有 信号 和 帧 的 内 容 都 被 更 
新 了 。 待 传输 的 数据 在 通信 有 周期 的 开始 被 写 人 ， 待 接收 的 数据 在 通信 周期 的 结 
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处 被 读 取 。 
第 ;次 发 射 数据 C 第 上 1 次 发 射 数据 C 第 112 次 发 射 数据 C 
第 /二 1 次 接收 数据 C 第 /次 接收 数据 C 第 i+1 次 接收 数据 C 






通信 循环 





通信 循环 
C 是 每 个 通信 循环 中 交换 的 
全 部 数据 








图 12.9 时序 层 面 1 一 一 通信 循环 











这 个 时 序 层 可 以 和 AI 层 混合 优化 ， 其 目的 是 提供 快速 而 十 分 抽象 地 了 解 信 
号 的 通信 时 序 。 假 定 由 基本 软件 层 引 起 的 通信 延迟 足够 小 ， 以 至 于 在 每 个 通信 有 周 
期 的 末尾 都 可 以 获得 更 新 的 信号 。 然 而 ， 在 和 CHI 组 合 后 ， 这 个 时 序 层 就 不 能 
提供 必需 的 精度 以 分 析 由 基本 软件 层 引 起 的 通信 延迟 的 影响 细节 。 

2. 时 序 层 2: 静态 时 隙 和 简单 动态 区 间 仲 裁 

这 是 一 个 其 中 的 帧 以 及 包含 的 信号 的 更 新 以 一 种 更 详细 的 方式 执行 的 更 加 准 
确 的 层面 。 在 静态 区 间 ， 静 态 时 际 的 时 序 被 模拟 了 出 来 。 待 传输 的 数据 在 每 个 更 
态 时 陈 的 开始 被 读 取 ， 静 态 时 隙 内 接收 到 的 数据 是 在 时 隙 结束 时 提供 的 。 图 
12. 10 显示 了 静态 区 间 时 际 1 数据 的 更 新 次 数 。 静 态 区 间 的 其 他 时 隙 以 同样 的 方 
法 进行 更 新 。 


第 ?次 发 射 。 第 ?次 接收 第 让 1 次 发 射 、 第 让 1 次 接收 第 ir2 次 发 和 
数据 S1 数据 S1 数据 S1 数据 S1 数据 S1 












































静态 区 间 
时 隙 1 > 


动态 区 间 静态 区 间 


时 隙 1_ | 


动态 区 间 











通信 循环 





通信 循环 
S1 是 每 个 通信 循环 时 隙 1 中 
交换 的 数据 


图 12. 10 “时序 层面 2 一 一 静态 时 序 仲裁 





对 于 动态 区 间 ， 仪 模拟 该 区 间 的 开始 端 和 结束 端 。 待 传输 的 数据 在 开始 端 被 
读 取 ， 在 动态 区 间 的 结束 段 提 供 已 经 接收 到 的 数据 ， 如 图 12. 11 所 示 。 

这 个 时 序 层 可 以 和 CHI 层 组 合 起 来 优化 ， 从 而 分 析 由 于 基本 软件 层 导致 的 
传输 延迟 影响 。 例 如 ，AUTOSAR FlexRay 接口 层 包含 着 和 FlexRay 通信 同步 的 通 
信 操 作 ， 即 它们 对 于 FlexRay 绥 存 的 读 、 写 入 是 同步 的 。 这 些 通信 操作 的 时 序 设 
置 确定 更 新 传输 数据 可 行 时 刻 的 最 早点 和 最 晚点 。 这 种 影响 可 以 和 应 用 层 的 软件 
组 件 综合 考虑 来 分 析 。 
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第 ;一 1 次 接收 第 /次 发 射 第 i 次 接收 第 计 1 次 发 射 第 二 1 次 接收 
数据 D 数据 D 数据 D 数据 D 数据 D 
静态 区 间 动态 区 间 静态 区 间 动态 区 间 
I 





D 是 每 个 通信 循环 中 整个 动态 区 
间 交 换 的 数据 














图 12.11 时 序 层面 2 动态 时 序 仲裁 














和 Al 层 组 合 起 来 后 ， 这 个 时 序 层面 在 没有 考虑 基本 软件 层 引 起 的 延迟 的 情 
况 下 ， 提 供 了 非常 精确 的 帧 的 更 新 。 但 是 这 样 的 考虑 可 能 会 导致 有 关 数 据 传送 时 
刻 最 早点 和 最 晚点 的 错误 估计 。 

3. 时 序 层 3: 静态 时 隙 和 高 级 动态 区 间 仲 裁 

这 个 时 序 层面 是 时 序 层 2 的 优化 。 采 样 点 的 选择 和 时 序 层 2 的 方法 相同 ; 然 
而 ， 它 更 详细 地 模拟 了 微 时 隙 媒介 存 取 方案 的 行为 。 这 种 基于 优先 级 的 算法 ， 在 
动态 区 间 最 费力 的 部 分 出 现 峰值 载荷 的 情况 下 ， 延迟 了 帧 的 传输 (IL 12. 1.2 
节 )。 

4. 更 加 具体 的 方法 

额外 的 模拟 方法 包括 以 更 详细 的 方法 模拟 动态 区 间 的 时 序 。 

12.3.1.2 故障 注入 

仿真 模型 中 的 故障 注入 可 以 使 得 设计 师 在 系统 开发 的 初级 阶段 就 可 以 分 析 系 
统 的 可 靠 性 特性 。 其 主要 目标 为 : 

(1) 故障 去 除 一 一 测试 容错 机 理 的 正确 行为 ; 

(2) 故障 预测 一 一 在 故障 情形 下 研究 系统 的 鲁 棒 性 。 

在 故障 注入 的 时 刻 ， 仿 真 模型 提供 了 一 种 完全 控制 故障 位 置 和 时 间 点 的 工 
具 。 在 简化 的 FlexRay 控制 器 和 网 络 模型 中 ， 我 们 关注 于 可 以 看 见 的 故障 对 那些 
先前 描述 的 架构 和 时 序 层 的 影响 。 

在 模拟 模型 中 ，AI 和 CHI 一 起 在 构架 层 被 模拟 成 共享 的 存储 。 所 以 ,按照 
选取 的 时 序 抽象 屋 ， 这 个 共享 的 存储 内 容 可 以 用 于 故障 注入 的 访问 。 

12.3.1.2.1 应 用 接口 

应 用 接口 (AI) 上 的 故障 注入 直接 为 支配 与 研究 应 用 模型 的 行为 提供 了 帮 
助 。 应 用 接口 (AL) 提供 访问 基本 软件 层 的 服务 。 在 仿真 模型 中 ， 这 些 服务 是 
以 非常 简单 的 方式 建 模 ， 并 提供 信号 更 新 和 比如 NM 的 状态 信息 服务 。 

言 号 的 更 新 在 时 域 和 值 域 中 可 以 很 容易 受到 影响 。 时 域 方 面 的 影响 取决 于 对 
应 FlexRay 协议 的 更 新 间 期 的 、 所 选择 的 时 序 抽象 层 。 与 CAN 网 络 其 低 优先 级 
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数据 的 周期 可 能 剧烈 跳动 、 甚 至 在 无 故障 的 情形 下 也 剧烈 跳动 相 比 ，FlexRay 在 
静态 区 间 和 动态 区 间 的 保 真 动态 提供 确定 性 的 传输 周期 作为 设计 过 程 的 规定 。 即 
使 在 应 用 出 错 的 情况 下 (但 此 时 假定 基本 软件 层 和 FlexRay 控制 器 仍 在 正常 工 
作 ) ， 信 和 号 的 更 新 周期 仍然 保持 常数 ; 然而 ， 信 和 号 的 值 可 能 是 错误 的 或 者 是 无 时 
效 的 。 这 种 协议 性 质 极 大 地 促进 了 时 域 中 应 用 故障 的 模拟 ， 在 规定 的 传输 周期 内 
在 应 用 接口 (AL) 处 ， 要 么 是 正确 的 信号 可 用 ， 要 么 是 没有 正确 的 信号 ， 这 些 
情况 下 都 能 仿真 。 在 动态 区 间 的 最 费力 的 部 分 内 ， 在 峰值 负荷 情形 下 信和 号 的 更 新 
也 可 能 丢失 或 者 延迟 ， 这 也 就 是 说 ， 没 有 具体 的 故障 。 这 种 情况 也 可 以 通过 去 除 
AI 中 部 分 信号 的 值 进 行 模拟 。 

值 域 偏差 可 以 通过 去 除 由 AI 提供 的 正确 信号 的 部 分 内 容 来 实现 。 这 类 故障 
模拟 分 析 了 如 果 存 在 错误 输入 数据 ， 应 用 模型 是 如 何 反 应 的 。 通 过 关注 通信 网 络 
的 故障 ， 这 种 方法 研究 了 当 存在 矛盾 数据 传输 的 情况 下 整个 系统 的 鲁 棒 性 。 由 于 
这 种 故障 ， 可 能 使 得 仅 有 部 分 ECU 收 到 了 正确 的 信号 ， 而 其 他 的 ECU 收 到 的 是 
没有 更 新 的 信号。 

基本 软件 层 的 其 他 功能 比如 NM， 也 可 能 受 故障 注入 影响 。 可 以 改变 一 个 或 
者 一 部 分 ECU 的 服务 状况 来 获得 错误 状态 ， 并 分 析 这 些 应 用 模型 是 如 何 对 这 些 
故障 做 出 反应 的 。 

对 于 这 些 类 型 模拟 AT 处 故障 的 方法 ， 时 序 层 1 具有 足够 的 尺度 。 当 还 要 考 
虑 基本 软件 层 引 起 的 延迟 时 ， 更 精细 尺度 层面 ( 即 采 用 更 高 一 级 时 序 层 面 ) 的 
研究 只 提供 实际 数据 。 因 此 ， 下 面 介 绍 CHI 层面 是 必要 的 。 

12.3.1.2.2 Plás -主机 接口 

CHI 上 的 故障 注入 在 分 析 基 本 软件 层 和 应 用 模型 的 作用 。CHI 提供 存 取 控 
制 器 的 状态 参数 与 FlexRay CC 的 缓存 内 容 。 在 仿真 模型 中 ， 数 据 的 传输 是 通过 
在 规定 的 时 序 抽象 层 更 新 CHI 的 所 有 控制 器 状态 参数 来 模拟 的 。 基 本 软件 层 和 
应 用 模型 则 利用 这 些 更 新 后 的 数值 。 

在 这 个 接口 上 ， 所 有 可 能 发 生 在 FlexRay 控制 器 或 者 通信 和 网络 上 的 故障 都 可 
以 被 模拟 。 这 些 故 障 包括 无 效 的 帧 接收 、CRC 错误 、 传 入 传 出 连接 错误 、 通 信 
通道 错误 ， 等 等 。 

FlexRay 技术 规范 既 没 有 指定 FlexRay 控制 器 中 CHI 的 寄存 器 ， 也 没有 规定 
缓存 的 布置 。 相 反 ， 描 述 了 提供 的 服务 以 及 信息 的 内 容 。 对 于 故障 模拟 ， 最 重要 
的 服务 包括 以 下 几 种 。 

1. 时钟 同步 

FlexRay 协议 要 求 所 有 的 控制 器 相互 共享 一 个 公共 时 基 ， 其 目的 在 于 以 时 间 
驱动 的 方式 完成 执行 、 接 收 、 传 输 的 操作 。 为 了 建立 这 样 一 种 公共 时 基 ， 采 用 了 
分 布 式 容错 时 钟 同步 算法 [1 。 只 要 一 上 电 ， 每 个 控制 器 就 会 执行 具体 的 启动 程 
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序 来 建立 公共 时 基 。 在 运行 过 程 中 ， 每 个 控制 器 都 执行 同步 算法 以 保持 和 其 他 控 
制 器 的 时 钟 一 致 。 如 果 一 个 控制 器 没有 同步 ,那么 它 就 不 可 能 充分 参与 数据 
传输 。 

存在 多 种 可 能 使 得 一 个 控制 器 没有 同步 。 这 些 可 能 包括 : 其 他 控制 器 没有 上 
电 ; FlexRay 通信 通道 受到 破坏 ; 或 者 FlexRay 控制 器 的 时 钟 频 率 不 合 规定 ， 
等 等 。 

为 了 分 析 基 于 FlexRay 应 用 的 运行 情况 ， 我 们 只 从 一 个 很 抽象 化 的 角度 ， 建 
立时 钟 同 步 算法 模型 。 这 种 抽象 视角 有 两 种 模式 : FlexRay 控制 器 的 同步 与 非 同 
步 模式 。 在 同步 模式 下 ， 控 制 器 可 以 正确 接收 和 传输 帧 信号 ;在 非 同 步 模 式 下 ， 
控制 器 不 能 正确 地 接收 到 帧 信号 。 进 一 步 地 说 ， 当 处 于 非 同步 状态 时 ， 假 定 控制 
器 不 会 传输 任何 帧 信号 。 

2. 帧 的 接收 

对 于 每 一 个 被 接收 到 的 帧 , “接收 ”状态 在 CHI 中 体现 。 这 个 接收 状态 表明 
帧 是 否 已 经 被 正确 接收 ， 或 是 在 接收 过 程 中 是 否 发 生 了 一 些 问 题 。 在 我 们 简化 了 
的 FlexRay 控制 融 模 型 中 ，CHI 中 的 帧 接收 状态 是 修改 的 ， 因 此 不 同 的 故障 情况 
是 可 以 模拟 的 。 这 些 故障 情况 包括 : 无 效 的 CRC、 校 验 和 错误 、 编 码 冲 突 、 时 
钟 同步 问题 ， 等 等 。 这 些 情况 可 以 影响 一 个 或 一 系列 的 帧 ， 例 如 : 

。 一 个 具体 节点 上 接收 到 的 所 有 帧 ; 

。 一 个 具体 通道 上 接收 到 的 所 有 帧 ; 

。 一 个 具体 周期 内 接收 到 的 所 有 帧 ; 

。 其 他 子 集 的 帧 。 

这 种 选取 受 影响 的 帧 的 方法 使 得 不 同类 型 的 故障 得 以 有 效 地 注入 系统 。 在 仿 
真 模型 中 ， 我 们 接着 就 可 以 准确 地 分 析 基 本 软件 层 和 应 用 层 的 行为 ， 比 如 可 以 分 
析 是 否 准 确 地 检测 到 这 些 节 点 或 通信 通道 的 故障 。 

3. 帧 传输 

一 个 帧 传输 的 成 功 或 者 失败 都 会 影响 到 所 有 接收 控制 器 CHI 中 接收 状态 的 
值 。 因 此 ， 修 改 所 有 接收 控制 器 的 CHI， 就 可 以 在 仿真 模型 中 模拟 不 同 的 传输 故 
障 。 此 外 ， 如 果 传 输 控 制 器 显示 确认 发 出 了 一 个 失败 的 传输 给 发 射 器 ,那么 CHI 
传输 控制 器 必须 可 以 修改 。 

4. 时 序 抽象 层 的 选取 

CHI 上 的 故障 注入 可 以 分 析 基 本 软件 层 和 应 用 模型 的 行为 。 当 应 用 模型 的 反 
应 可 以 在 AI 中 研究 时 ， 基 本 软件 层 的 响应 对 这 种 故障 注入 来 说 具有 特定 的 价值 。 
时 序 层 1 对 于 这 种 研究 是 不 够 的 ， 因 为 它 不 能 提供 在 CHI 上 可 获得 帧 的 最 早 时 
刻 点 。 时 序 层 2、3 以 及 更 详细 的 方法 ， 则 可 以 提供 足够 信息 进行 CHI 上 的 故障 
仿真 。 
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12. 3.2 ”基于 硬件 的 验证 


在 基于 硬件 的 验证 中 ，DUT 不 在 软件 中 模拟 。 在 这 种 情况 下 ， 整 个 ECU 
(其 至 是 多 个 ECU WAE) 以 及 硬件 与 舱 入 式 软 件 的 组 合 ， 都 用 于 验证 工作 。 
为 了 能 够 进行 这 样 一 项 基于 硬件 的 验证 ， 测 试 台 本 身 必须 是 基于 硬件 构建 的 ， 且 
测试 平台 与 DUT 之 间 的 接口 是 硬件 接口 。 在 网 络 系 统 中 ， 这 个 接口 一 方面 是 通 
信和 媒介 ， 在 另 一 方面 它 也 是 连接 外 界 环境 ( 即 传感器 和 执行 机 构 ) 的 VO 接口 。 

根据 DUT 的 响应 是 否 被 反馈 到 测试 矢量 的 生成 中 ， 可 以 将 测试 方法 分 为 
“ 开 环 的 ”和 “闭环 的 ”。 

12.3.2.1 开 环 方法 

在 开 环 方法 中 ，DUT 对 测试 激励 的 响应 并 没有 被 反馈 到 测试 信号 生成 中 来 
生成 新 的 测试 激励 。 因 此 ， 测 试 台 本 身分 为 三 个 主要 部 分 , 分别 叫做 测试 激励 产 
生 部 分 、 监 控 部 分 和 控制 部 分 。 当 第 一 部 分 为 DUT 提供 测试 激励 时 ， 第 二 部 分 
的 职责 就 是 监测 对 这 些 测 试 激 励 的 响应 。 为 了 协调 测试 激励 与 测试 响应 的 记录 的 
配置 ， 测 试 台 也 包括 一 个 控制 部 分 ， 该 部 分 包括 一 个 用 于 以 后 评估 的 检索 测试 激 
励 和 存储 测试 响应 的 数据 库 。 

这 样 ， 测 试 的 输入 和 输出 结果 可 以 分 别 通 过 DUT 的 网 络 接口 〈 网 络 激励 提 
供 者 和 网 络 监 控 设 备 ) 和 DUT 的 环境 接口 (环境 激励 提供 者 和 环境 监控 设备 ) 
获得 。 图 12. 12 展示 了 这 种 测试 布置 。 

从 关注 的 环境 接口 角度 看 ， 基 于 FlexRay 的 系统 和 基于 非 FlexRay 的 系统 之 
间 没 有 真正 的 差别 。 因 此 ， 我 们 在 下 一 节 中 不 会 再 讨论 这 个 接口 。 
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图 12.12 开 环 测试 布置 
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12.3.2.1.1 测试 和 监控 层面 

基于 FlexRay 的 系统 的 测试 和 监控 对 象 是 12. 3. 1. 1 节 中 提 到 的 接口 。 

1. 物理 层 接口 

在 PLI 无 故障 情形 下 的 测试 本 质 上 是 在 检测 FlexRay CC 的 正确 操作 以 及 通 
信 媒 介 (例如 ， 合适 终 端的 总 线 拓扑 结构 ) 的 恰当 设置 。 在 给 定 一 个 正常 运行 
的 FlexRay CC (包括 线路 驱动 ) 、 恰 当 设置 的 通信 媒介 以 及 其 不 发 生 故 障 [例如 
没有 电磁 干扰 (EMI) BE, TE] 的 情况 下 ,不 可 能 存在 任何 其 他 故障 的 
原因 。 

在 知道 了 这 些 装 置 的 故障 后 ， 在 测试 过 程 中 以 下 故障 必须 考虑 (从 监控 设 
备 角度 来 看 ) 。 

值 域 故障 : 在 PLI (编程 语言 接口 ) 处 ， 值 域 故 障 意 味 着 观察 到 的 电压 值 偏 
离 了 FlexRay 物理 层 技 术 要 求 规定 的 值 。 这 种 偏差 可 能 是 由 通信 媒介 的 非 正常 中 
斯 、 单 线 或 者 两 线 的 FlexRay 通道 短路 接地 或 与 电源 电压 短 接 引起 ， 或 是 由 星 形 
拓扑 结构 中 的 星 形 耦 合 装置 故障 引起 的 。 

时 域 故 障 : 时 域 中 的 一 个 故障 可 以 是 观测 到 的 位 时 序 偏 离 了 规定 的 位 时 序 ， 
这 意味 着 比如 位 元 件 的 持续 时 间 太 长 或 者 太 短 了 。 也 有 可 能 是 位 时 序 的 一 阶 导数 
存在 偏差 。 这 种 情况 下 ， 意 味 着 边缘 陡 度 要 么 是 过 高 ， 要 么 是 过 低 。 这 些 故 障 的 
原因 可 能 是 FlexRay CC 中 的 错误 振荡 、 编 码 器 的 故障 ， 或 者 FlexRay CC 的 不 正 
确 设 置 。 

编码 域 故障 : 偏离 规定 的 编码 被 称 为 编码 故障 。 在 位 层面 ，FlexRay 利用 不 
BEH (NRZ) 编码 方式 。 为 了 促成 传输 器 和 接收 器 之 间 在 位 层面 上 的 同步 ， 
每 个 字 节 都 附带 配 有 专用 的 开始 和 结束 位 (每 个 位 都 表现 出 不 同 的 逻辑 电 平 )， 
因而 这 样 强迫 每 个 字 节 至 少 有 一 个 边缘 。 造 成 编码 故障 的 原因 是 收发 器 的 故障 ， 
或 者 是 FlexRay CC 中 编码 单元 的 故障 。 

2. 控制 器 -主机 接口 

值 域 故障 : CHI 中 值 域 故障 表现 为 帧 的 内 容 偏离 了 规定 的 帧 内 容 。 接 下 来 ， 
我 们 需要 区 分 出 错误 的 CRC 帧 以 及 正确 的 、 但 是 无 效 负载 的 帧 。 前 一 种 情况 可 
能 是 传输 器 的 故障 或 者 是 FlexRay CC 的 发 送 单元 CRC 的 故障 ， 或 是 MCU 的 故 
障 、 应 用 程序 的 缺陷 或 者 FlexRay CC 的 不 正确 设置 引起 的 。 除 了 以 上 这 些 情形 
外 ， 后 一 种 情况 可 能 是 CHI 故障 引起 的 。 此 外 ， 两 种 情况 也 都 有 可 能 是 通信 媒 
介 的 故障 造成 的 。 

时 域 故障 : 在 CHI 处 ， 可 能 发 生 以 下 几 种 时 域 故 障 : 帧 的 提前 ( 即 帧 在 规 
定时 间 点 前 被 传输 ) 和 帧 延 后 ( 即 在 规定 时 间 点 后 被 传输 )。 帧 延 后 的 特例 是 帧 
根本 没有 被 传输 (遗漏 故 障 )。 造 成 时 序 故 障 的 可 能 原因 是 FlexRay CC 振荡 器 
的 故障 、FlexRay CC 的 不 正确 设置 、 星 形 耦 合 器 故障 、 通 信 媒 介 的 故障 ， 或 者 
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MCU 故障 ， 或 者 应 用 程序 出 错 。 

编码 域 故障 : 就 关注 的 CHI 编码 而 言 ，FlexRay 采用 一 种 确定 的 帧 格式 ， 它 
包括 帧 的 起 始 时 序 、 帧 头 、 帧 的 有 效 载荷 以 及 一 个 包含 帧 CRC 的 帧 尾 。 帧 的 每 
一 个 部 分 都 有 确定 的 长 度 。 任 何不 符合 这 种 帧 格式 的 编码 都 被 看 做 是 CIH 的 编 
码 故 障 。 这 种 故障 可 能 是 FlexRay CC 传输 需 单 元 的 故障 或 者 是 星 形 耦合 器 故障 
(包括 对 帧 起 始 序列 过 大 的 截断 ) 。 

3. 应 用 接口 

值 域 故障 : CH 中 值 域 故障 表现 为 帧 的 内 容 偏离 了 规定 的 帧 内 容 。 因 此 ， 可 
以 区 分 开 表现 为 无 效 的 信号 和 表现 为 有 效 、 但 是 无 效 数值 的 信号 。 这 两 种 情况 都 
有 可 能 是 数据 连接 层 的 值 域 故障 、MCU 或 应 用 程序 故障 ,或 者 是 AUTOSAR 
COM 层 的 错误 设置 引起 的 。 

时 域 故障 : 在 AI 处 ， 时 域 故障 既 可 以 由 CHI 处 时 域 故 障 ， 也 可 以 由 负责 把 
待 传输 信号 打包 到 各 个 FlexRay 帧 的 通信 任务 的 过 晚 或 过 早 激活 造成 的 。 这 些 故 
障 造 成 了 信号 时 序 要 求 的 偏差 (12.1.1.2.1 节 )。 

编码 域 故障 : 如 果 我 们 考虑 AI 中 的 编码 ， 那 么 不 同 的 信号 是 按照 每 帧 规定 
的 布局 被 打包 成 一 幅 单一 的 帧 。 任 何 偏离 这 种 规定 的 信号 布局 都 被 视 为 AI 中 的 
编码 故障 。 引 起 这 种 故障 的 大 多 数 原 因 是 AUTOSAR COM 层 的 错误 设置 或 MCU 
的 故障 引起 的 。 

12.3.2.1.2 故障 条 件 下 的 测试 

正如 前 面 所 述 ， 为 了 进行 故障 条 件 下 的 测试 ， 通 常 需要 故障 的 注入 。 在 开 环 
硬件 测试 设置 中 ，DUT 基本 上 不 能 修改 。 因 此 ，DUT 必须 被 看 做 是 一 个 黑 盒 子 ， 
而 仅 把 网 络 接口 和 环境 接口 作为 故障 注入 的 目标 。 下 面 我 们 将 关注 网 络 接口 。 

在 适当 的 硬件 修改 条 件 下 ， 网 络 激励 源 (在 测试 控制 器 的 控制 下 ) 可 以 给 
物理 线路 接口 注入 上 节 提 到 的 所 有 故障 ， 也 可 以 向 CHI 和 AI 注入 这 些 故 障 。 

比如 ， 物 理 线路 接口 的 编码 故障 可 以 通过 运行 一 个 特殊 的 编码 单元 来 实现 ， 
这 种 特殊 的 编码 单元 可 以 提供 一 种 控制 工具 ， 来 故意 破坏 FlexRay 技术 定义 的 位 
编码 方法 。 又 比如 ，CHI 的 值 域 故障 可 以 这 样 注入 : 故意 在 网 络 激励 源 处 产生 一 
个 错误 的 CRC。 再 如 ，AI 的 数值 故障 ， 可 以 通过 以 下 方式 来 实现 : 在 保证 帧 的 
CRC 完好 无 缺 的 情况 下 ， 故 意 发 送 错误 的 信号 值 或 者 故意 把 信号 标记 为 无 效 的 。 

12.3.2.2 闭环 测试 方法 

与 开 环 方法 相反 ， 在 闭环 系统 中 ，DUT 的 响应 被 反馈 到 激励 的 产生 处 ， 从 
而 产生 新 的 激励 。 因 此 ， 图 12. 12 中 的 环境 激励 源 和 它 的 监控 设备 以 及 网 络 激励 
源 和 它 的 监控 设备 紧密 连接 起 来 ， 都 被 当做 一 个 部 件 来 运行 ， 如 图 12. 13 所 示 。 

这 种 方法 通常 被 称 为 “剩余 总 线 仿真 ” (德语 中 是 “Restbussimulation”) 或 
者 “在 环 人 硬件 (HIL) ”系统 。HIL 系统 包括 一 套 完整 的 其 他 ECU 模型 和 一 套 详 
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细 的 环境 控制 模型 ， 例 如 ， 一 个 制 动 系统 包括 制动器 行为 、 整 车 和 道路 。 剩 余 仿 
真 通 常 包括 一 个 简化 了 的 其 他 ECU 的 模型 ， 以 及 没有 或 者 只 有 一 个 基本 的 、 控 
制 的 环境 模型 。 

基于 FlexRay 应 用 的 测试 和 监控 层面 和 开 环 方法 中 阐述 的 相同 。 
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图 12.13 闭环 方法 测试 设置 


12.4 测试 方法 讨论 


前 面 我 们 找 出 了 一 些 可 行 的 测试 方法 ， 但 是 仍然 存在 这 样 一 个 问题 : 就 是 哪 
种 方法 最 适合 基于 FlexRay 的 应 用 及 系统 的 研发 ? 在 本 节 ， 我 们 通过 测试 过 程 中 
的 费用 、 精 度 、 实 现 难 易 度 等 方面 的 评价 ， 来 对 这 些 方 法 进行 比较 。 


12. 4.1 基于 软件 的 测试 方法 


纯粹 的 基于 软件 的 测试 方法 ， 它 不 涉及 任何 目标 硬件 ， 这 种 方法 非常 灵活 ， 
可 以 适用 于 测试 目的 ， 因 此 这 种 方法 可 以 很 容易 地 控制 测试 的 执行 、 监 控 测 试 响 
应 ， 并 注入 故障 。 从 而 使 得 测试 的 可 重复 性 更 好 ， 故 障 的 注入 更 容易 。 

可 以 在 目标 硬件 建成 之 前 就 进行 测试 是 这 种 方法 的 另 一 个 优点 。 这 使 得 在 开 
发 生命 早期 就 可 以 进行 测试 ， 并 且 支 持 在 开发 周期 的 第 一 个 阶段 检测 研发 缺陷 。 
这 种 方法 是 大 大 降低 由 这 些 缺 陷 带 来 成 本 的 重要 原因 [21 。 

另 一 方面 ， 这 种 测试 方法 的 主要 缺点 是 软件 模型 的 精度 ， 且 特别 是 这 种 模型 
和 实际 硬件 模型 之 间 在 时 序 表现 方面 的 顺从 性 。 从 功能 的 角度 来 看 ， 纯 粹 的 基于 
软件 的 方法 可 以 完美 地 模拟 实际 系统 取得 的 行为 。 然 而 ， 就 关注 的 时 序 因素 
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( 比如 延迟 、 取 得 的 精度 ， 等 等 ) 而 言 ， 一 旦 要 求 的 测试 和 相应 的 监控 精度 达到 
更 低级 的 时 序 等 级 (更 细微 的 粒度 ) ， 那么 纯粹 的 基于 软件 模拟 的 方法 就 达到 了 
其 适用 的 极限 (参见 12.3.1.1.2 节 所 述 )。 因 此 ， 就 模型 的 复杂 度 以 及 为 分 析 
模型 所 需要 的 计算 资源 而 言 ， 另 一 个 重要 的 方面 是 基于 软件 测试 方法 的 成 本 。 在 
任何 情况 下 ， 软 件 测试 方法 的 精度 都 必须 和 应 用 软件 的 时 序 要 求 的 尺度 兼容 ， 否 
则 测试 所 得 到 的 结果 将 不 能 够 提供 足够 的 、 强 有 力 的 保证 。 当 测试 和 监控 都 是 在 
大 时 序 尺度 (例如 采用 一 个 信号 通信 周期 为 尺度 ) 上 进行 时 ,仿真 需要 的 计算 
资源 相当 适中 ; 然而 当 采 用 的 时 序 尺 度 移 到 更 低 时 序 尺 度 (更 细微 的 尺度 ) 时 ， 
内 存 和 CPU 使 用 率 这 些 计 算 资 源 却 会 大 大 增加 。 因 此 ， 当 采用 纯粹 的 基于 软件 
测试 方法 时 ， 需 要 在 运行 的 时 间 和 精度 这 一 对 矛盾 中 取得 平衡 。 


12.4.2 ”基于 硬件 的 测试 方法 


在 基于 人 硬件 的 测试 方法 中 ， 与 模型 精度 及 因而 该 方法 适应 给 定时 序 尺 度 有 关 
的 成 本 因素 不 再 构成 问题 。 实 际 上 ， 与 粗 尺度 的 时 序 要 求 相 比 ， 细 微 尺 度 的 时 序 
要 求 并 不 会 增加 附加 计算 成 本 。 

但 是 ， 基 于 硬件 的 测试 方法 的 缺点 是 不 够 灵活 ， 特 别 体 现在 控制 执行 测试 、 
监控 以 及 故障 注入 的 局 限 性 和 高 成 本 上 (例如 为 了 能 够 复 现 特 定 故 障 注入 而 需 
要 昂贵 的 特殊 专门 仪器 [31 ) 。 

基于 便 件 的 测试 方法 的 更 大 的 缺点 是 : 通常 在 开发 生命 周期 的 晚期 才 有 可 能 
进行 最 后 的 目标 人 硬件 测试 。 这 就 要 求 要 么 在 原型 机 (它们 也 有 自己 的 制造 缺陷 ) 
上 进行 测试 ， 要 么 将 测试 推迟 到 整个 硬件 都 生产 出 来 后 。 这 两 种 方法 都 会 使 成 本 
增加 ， 原 因 要 么 是 因为 在 不 成 熟 的 硬件 上 测试 ， 要 么 是 因为 检测 到 研发 错误 太 
晚 ， 因 而 在 找 出 缺陷 后 对 其 进行 修复 的 成 本 高 造成 的 。 

正如 上 面 所 述 ， 有 两 种 可 以 用 来 进行 基于 硬件 测试 的 方法 : 开 环 测试 和 闭环 
测试 。 一 个 功能 性 测试 的 案例 ， 它 需要 基于 闭环 的 测试 ， 是 复杂 的 通信 服务 ， 例 
ATP, NM 和 诊断 通信 管理 。 这 些 服务 中 的 每 一 个 都 或 多 或 少 执行 了 复杂 的 通信 
协议 ， 且 要 求 在 发 送 器 和 接收 需 处 都 要 有 状态 机 ， 其 中 状态 转变 是 由 接收 和 /或 
发 送 的 消息 来 触发 。 如 果 没 有 可 能 对 DUT 测试 响应 做 出 反应 ， 那 么 就 不 可 能 在 
测试 平台 上 实施 这 种 复杂 的 通信 协议 。 另 一 种 案例 是 分 布 式 控制 环 路 的 测试 ， 其 
中 DUT 作为 参与 到 控制 环 路 的 ECU 之 一 。 和 那些 复杂 的 通信 协议 一 样 ， 分 布 式 
控制 环 路 要 求 测试 平台 必须 具备 对 DUT 的 响应 做 出 反应 的 能 力 ， 且 它 使 得 开 环 
方法 对 于 这 些 情况 是 表现 不 足 的 。 

总 之 ， 闭 环 测试 方法 比 开 环 方法 成 本 更 高 (由 于 需要 更 多 的 计算 资源 ， 且 
测试 设备 本 身 需 要 很 精密 地 设计 和 研发 ) 。 因 此 ， 实 际 上 使 用 朵 环 和 开 环 方法 的 
组 合 。 闭 环 测试 方法 仅 在 系统 成 功 地 完成 了 更 廉价 的 测试 ( 即 开 环 测试 ) 的 情 
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况 下 使 用 。 
12.5 结论 


测试 基于 FlexRay 的 系统 需要 在 软 便 件 不 同 抽象 层面 上 的 接口 ， 也 就 是 在 
PLI, CHI 和 AI 上 进行 。 由 于 FlexRay 通信 协议 的 性 质 ，DUT 的 响应 必须 被 监控 
和 检查 : 不 仅 包 括 值 域 的 偏差 ， 而 且 也 包括 时 域 和 编码 域 的 偏差 。 

这 些 测试 需要 在 无 错 情况 下 和 有 故障 的 情况 下 进行 ， 其 中 后 者 必须 通过 故障 
注入 来 形成 。 在 开 环 、 闭 环 测试 方案 中 ， 同 时 使 用 基于 软件 的 测试 和 基于 硬件 的 
测试 这 两 种 方法 是 完全 合乎 情理 的 ， 这 是 因为 每 种 方法 都 有 其 优点 和 弊端 。 每 种 
方法 都 有 其 合适 的 应 用 场合 ， 并 提供 最 大 的 经 济 效益 。 

因此 ， 在 整个 系统 的 不 同 研发 阶段 ， 我 们 推荐 使 用 上 述 所 有 的 测试 方法 的 组 
合 。 如 果 没 有 硬件 可 供 测试 ， 那 么 我 们 推荐 开始 时 使 用 纯粹 的 基于 软件 的 测试 方 
法 。 在 纯粹 的 基于 软件 的 测试 方法 中 ， 一般 性 功能 测试 可 以 在 相当 大 的 时 序 尺 度 
上 进行 。 一 旦 这 些 测 试 成 功 完成 了 ， 那 么 可 以 进行 一 些 更 小 时 序 尺 度 上 的 附加 
测试 。 

一 旦 硬件 是 可 用 的 ， 那 么 就 可 以 进行 开 环 测试 以 验证 DUT 的 应 用 部 分 的 正 
确 的 时 序 与 功能 。 一 旦 这 些 测试 也 成 功 完 成 后 ， 那 么 就 可 以 采用 闭环 测试 方法 来 
验证 复杂 的 通信 协议 和 分 布 式 控制 环 路 功能 。 
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35.13 ”基于 CAN 网 络 的 
汽车 通信 系统 的 时 序 分 析 





13.1 简介 





控制 器 区 域 网 络 (CAN)9 是 主要 的 现场 总 线 技术 之 一 ， 用 于 需要 艇 入 式 通 
信 的 许多 应 用 领域 。CAN 在 汽车 领域 显得 尤为 重要 ， 因 为 它 能 提供 有 关 消 息 帧 
传输 方面 可 预测 的 时 序 (实时 ) 行为 。 本 章 将 详细 介绍 CAN、 它 的 历史 以 及 它 
的 属性 ， 此 外 ， 本 章 还 介绍 了 CAN 中 的 帧 时 序 分 析 。 


13.1.1 历史 


在 20 世纪 80 年 代 初 ， 罗 伯 特 : 博世 有 限 公 司 对 存 有 的 串 行 总 线 系 统 ( 网 络 
ER) 在 汽车 领域 的 可 用 性 方面 进行 了 评 佑 。 当 时 的 技术 都 不 适合 于 汽车 领域 。 
于 是 在 1983 年 ， 博 世 公 司 提 出 了 CAN 技术 。 这 种 新 的 网 络 技术 主要 是 用 来 支持 
向 汽车 系统 中 加 入 新 功能 。 此 外 ， 用 一 个 共享 的 网 络 来 替换 专用 电缆 也 减少 了 布 
线 ， 这 是 一 个 在 车 辆 领域 越发 重要 的 问题 。 在 1986 年 2 月 ， 博 世 公 司 在 底特律 
的 SAE 大 会 提出 了 “汽车 串 行 控制 器 局 域 网 络 ” ，CAN 也 就 正式 诞生 。 在 接 下 
来 的 一 年 即 1987 年 ， 首 个 CAN 通信 适配器 芯片 由 英特尔 和 飞利浦 发 布 。 然 而 ， 
直到 20 世纪 90 年 代 初 ， 博 世 公 司 才 提 交 用 于 国际 标准 化 的 CAN 技术 规范 。 在 
1993 年 底 ，CAN 由 ISO 标准 化 ， 标 准 代号 为 ISO 11898'1) 。 同 时 ，CAN 的 低速 
容错 物理 层 版 本 亦 被 标准 化 ， 标 准 代号 为 ISO 11519 -2'7! 。 两 年 以 后 ， 标 准 ISO 
11898 的 内 容 增 编 扩 展 ， 还 包括 了 CAN 的 一 个 扩展 版 本 。 

今天 再 看 CAN 技术 ， 存 在 各 种 各 样 的 CAN 标准 ， 它 们 适应 于 不 同 领域 的 需 
求 : ISO 11898 是 欧洲 汽车 行业 中 最 常用 的 现场 总 线 。 然 而 ， 在 美国 ， 不 同 于 基 
于 CAN 的 标准 ， 比 如 SAE J1850031 则 是 比较 常见 的 ， 虽 然 此 标准 现在 已 被 新 标 
准 SAE J2284 [取代 [1 。 此 外 ， 对 于 货车 和 拖车 ， 标 准 SAE J193916] 自 20 H 
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纪 90 年 代 后 期 开始 使 用 。 作 为 SAE 货车 和 客车 控制 和 通信 分 委员 会 在 20 世纪 
90 年 代 初 开创 的 工作 成 果 ，SAE 在 1998 年 颁布 标准 SAE J1939, J1939 规定 了 
在 货车 和 拖车 的 发 动机 、 变 速 器 以 及 制 动 系统 的 应 用 程序 中 消息 帧 是 如 何 定 义 
的 。 如 今 ，SAE J1939 被 广泛 用 在 货车 和 拖车 的 应 用 程序 中 ， 并 被 定 为 标准 ISO 
11992。 最 后 ， 查 看 其 他 应 用 领域 ， 对 于 拖拉 机 和 农业 与 林业 机 械 ， 采 用 了 基于 
SAE J1939 的 ISO 标准 : 标准 ISO 117831781, NMEA 2000[91 定义 了 针对 船舶 使 
用 的 基于 SAE J1939/1SO 11783 标准 的 协议 。 

为 了 简化 起 见 ， 在 本 章 的 其 余部 分 中 上 述 所 有 的 CAN 标准 均 简 称 为 CAN, 
它们 之 间 的 主要 区 别 是 在 速度 和 帧 标识 符 的 用 途上 。 











13.1.2 应 用 


经 典 的 CAN 的 应 用 是 按 实时 要 求 及 以 Sms 或 更 长 时 间 为 周期 的 分 布 式 怠 人 
式 系统 。 但 是 ，CAN 也 可 用 于 许多 非 实时 的 应 用 场合 。CAN 在 汽车 行业 的 第 一 
次 应 用 是 宝马 公司 1986 年 生产 的 850 CSI 车 型 。 梅 赛 德 斯 - 奔驰 于 1989 年 在 他 
们 的 SL 500 车 型 中 推出 了 现场 总 线 技术 ， 并 于 1992 年 也 将 该 技术 在 更 大 型 的 S 
系列 车 型 中 应 用 。 一 般 来 说 ，CAN 总 线 最 初 用 于 发 动机 控制 ， 但 接 下 来 引入 了 
把 发 动机 控制 网 络 与 另 一 个 控制 车 身 和 和 舒适 度 电子 相连 接 的 网 关 。 为 了 更 好 地 了 
解 使 用 CAN 技术 的 应 用 场合 ， 推 荐 有 兴趣 的 读者 浏览 自动 化 中 的 CAN (CA) 
网 站 9 。 


13.1.3 章节 编排 


13.2 节 介 绍 CAN， 内 容 包括 基本 属性 ， 如 网 络 拓扑 、 帧 类 型 、 仲 裁 机 制 、 
误差 检测 和 位 填充 机 制 以 及 帧 传输 时 间 。13. 3 节 介 绍 标准 的 CAN 消息 帧 调度 
器 ， 此 外 还 介绍 其 他 CAN 的 调度 器 。13. 4 节 介 绍 本 章 中 所 使 用 的 调度 模型 ， 随 
后 在 13.5 节 中 介绍 计算 最 坏 情况 的 消息 帧 响应 时 间 的 方法 。13.6 节 中 介绍 误差 
模型 和 修正 后 的 响应 - 时间 分 析 。13.7 节 介 绍 全 局 分 析 ， 考 虑 分 析 基 于 CAN 的 
系统 的 端 部 到 端 部 的 时 间 行 为 。13. 8 节 介 绍 在 汽车 领域 常用 的 中 间 件 和 帧 包装 。 
最 后 在 13. 9 节 对 本 章 内 容 进 行 了 总 结 。 





























13.2 CAN 


CAN 是 一 个 广播 总 线 ， 它 使 用 确定 性 的 冲突 解决 方案 (CR) 来 控制 对 总 线 
的 访问 | 称 为 载波 侦 听 多 址 访问 (CSMA)/CR], 








© CAN in Antomation (CiA) http: //www. can — cia. org/. 
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一 般 来 说 ，CSMA 协议 在 传输 一 帧 之 前 会 检查 媒介 的 状态 上 5 ， 来 查看 媒介 
是 处 于 空闲 还 是 繁忙 状态 〈 这 个 过 程 称 为 载波 侦 听 ) 。 通 过 只 有 在 媒介 空闲 时 才 
启动 帧 传输 ，CSMA 协议 考虑 无 干扰 地 完成 进行 的 帧 的 传输 。 如 果 媒 介 繁忙 ， 在 
再 次 尝试 传输 之 前 ，CSMA 协议 会 等 待 一 段 时 间 。 具 体 来 说 ，CAN 会 等 待 媒介 变 
为 空闲 状态 ， 当 多 重 帧 被 仲裁 为 同时 发 生 时 ， 帧 仲裁 机 制 (下 面 详 述 ) 会 解决 
潜在 的 冲突 。 

CAN 使 用 含有 0 ~8 个 字 节 的 “载荷 数据 ”和 许多 “控制 位 ”的 “ 帧 ”来 
传输 “消息 "”。 这 些 帧 可 以 10kbit/s、 最 高 达 Mbit/s 的 速度 进行 传输 。 根 据 
CAN 的 格式 一 一 标准 的 或 扩展 格式 ， 控 制 位 数 要 么 是 47， 要 么 是 67。 有 具体 来 
说 ， 标 识 符 位 数 要 么 是 11 位 (CAN 标准 格式 ) ， 要 么 是 29 位 (CAN 扩展 格 
式 ) 。 标 准 格 式 CAN 的 帧 的 各 个 部 分 如 图 13. 1 所 示 。 

仲裁 区 控制 区 ”数据 区 CRC 区 























z Jt 
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CRC 定 界 位 
图 13.1 CAN 帧 布置 (CAN 标准 格式 的 数据 帧 ) 




















13.2.1 拓扑 结构 


CAN 协议 在 广播 总 线 上 运行 。 总 线 上 不 存在 对 其 他 拓扑 结构 的 内 置 支持 。 
然而 ， 存 在 针对 星 形 拓扑 结构 、 带 网 关 或 交换 器 的 第 三 方 解 决 方案 [1 -3] ， 具 体 
内 容 见 第 6 章 。 

在 高 级 应 用 场合 比如 汽车 系统 ， 若 干 条 CAN 总 线 通 过 一 个 或 多 个 网 关 相互 
连接 。 带 有 软件 的 网 关 知 道 在 连接 到 不 同 的 总 线 之 间 的 哪些 数据 应 该 被 转发 。 使 
用 网 关 可 以 构造 随意 的 较 大 和 复杂 的 基于 CAN 的 网 络 。 然 而 ， 网 关 必 须 人 工 编 
程 来 提供 网 关 功 能 。 

比如 ， 图 13. 2 描绘 了 一 个 典型 的 汽车 基于 CAN 网 络 架 构 。 该 图 展示 了 大 众 
帕萨特 汽车 的 网 关 网 络 基础 设施 (此 图 转载 自 参 考 文献 [141])。 注 意 这 里 几 个 
CAN 节点 也 充当 低 成 本 LIN 的 网 关 L5.6] 。 

从 实时 的 角度 来 看 ， 应 当 指 出 每 个 网 关 将 增加 帧 传输 的 延迟 ， 从 而 造成 帧 错 
过 时 限 的 隐患 。 此 外 ， 当 使 用 网 关 时 ， 所 有 节点 可 能 无 法 在 同一 时 间接 收 一 幅 特 
定 的 帧 〈 因 为 帧 在 不 同 段 可 能 会 遇 到 不 同 的 延迟 ) ， 从 而 使 得 在 分 布 式 系统 中 难 
以 实施 紧密 的 协调 行为 。 关 于 CAN 网 关 问 题 的 更 多 信息 和 进一步 的 索引 可 在 参 
考 文献 [13] 中 找到 。 
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图 13. 2 ”大 众 帕萨特 的 网 络 架构 
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13.2.2 W 


CAN 协议 使 用 4 种 类 型 的 帧 来 运行 : 

o 数据 帧 ; 

。 远程 传输 请 求 (RTR) W; 

。 超载 帧 ; 

。 误差 帧 。 

本 章 重 点 是 数据 帧 ，13. 5 节 介 绍 了 数据 帧 的 实时 分 析 技 术 。 在 13. 6 节 中 ， 
把 这 种 分 析 扩 展 到 还 包括 误差 影响 分 析 。 但 本 章 不 包括 超载 帧 的 内 容 。 虽 然 
RTR 帧 超出 本 章 的 范围 和 目的 ， 但 通过 使 用 参考 文献 [17] 中 列 出 的 方法 ， 响 
应 时 间 分 析 可 以 很 容易 地 被 扩展 到 包括 RTR 帧 的 情况 。 


13.2.3 Wh 


通过 帧 仲裁 一 一 即 在 选 帧 过 程 中 ，CAN 在 一 组 节点 同步 传输 的 一 组 帧 中 ， 
选择 具有 最 高 优先 级 的 帧 〈 这 相当 于 带 有 最 低 标识 符 的 帧 ) ， 来 实施 冲突 解决 方 
案 一 CR。 除了 选择 优先 级 最 高 的 帧 以 外 ， 帧 仲裁 还 确保 CAN 总 线 免 于 冲突 。 
为 了 保证 此 条 件 ，CAN 协议 要 求 两 个 从 不 同 的 源 节点 发 出 的 、 同 时 激活 的 数据 
帧 必须 具有 不 同 的 标识 符 。 综 上 所 述 ， 标 识 符 具有 以 下 用 途 : 

e 识别 帧 ， 


e 为 帧 分 配 一 个 优先 级 ; 
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o 使 接收 器 对 帧 进行 过 滤 。 

CAN 物理 层 可 确保 : 中 空闲 CAN 总 线 的 逻辑 值 为 1; 四 如 果 任 意 节 点 发 送 0 
逻辑 值 ， 那 么 会 造成 总 线 逻 辑 值 为 0。 因 此 ， 如 果 两 个 (或 更 多 ) 的 节点 同时 试 
AR, BARRA (如 果 所 有 节点 发 送 逻 辑 值 1)。 图 13.3 说 明了 两 
个 节点 同时 向 总 线 上 发 送 比特 流 时 的 以 上 原理 。 

利用 这 一 特性 ， 帧 仲裁 可 以 利用 各 节点 在 发 送 其 标识 符 的 同时 监听 总 线 来 实 
施 。 如 果 总 线 值 与 刚刚 写 入 的 标识 符 位 值 不 同 ， 那 么 该 节点 会 知道 有 更 高 优先 级 
的 帧 试图 访问 总 线 ， 因 此 该 节点 停止 发 送信 息 。 

图 13. 4 显示 了 四 个 节点 同时 试图 发 送 一 个 帧 的 场景 。 一 开始 ， 总 线 处 于 空 
闲 状态 。 每 个 节点 都 知道 这 一 点 ， 因 为 总 线 值 为 1。 接 下 来 ， 每 个 节点 开始 传送 
帧 起 始 (SOF) 位 ， 如 图 13. 1 所 示 。 由 于 每 个 节点 既 写 人 逻辑 值 0， 也 读 和 人 0 8 
辑 值 ， 因 而 没有 节点 会 知道 其 他 节点 尝试 在 同一 时 间 访 问 总 线 。 现 在 ， 每 个 节点 
开始 发 送 其 标识 符 位 。 

对 于 两 个 首位 ， 每 个 节点 再 次 读 
取 发 送 的 同一 个 值 ， 因 此 它们 继续 发 节点 A o i eee "m 
送 标识 符 位 。 然 而 ， 在 第 三 标识 符 


位 ， 节 点 使 用 0 x330 的 帧 ID 写 入 值 
是 1， 但 读 取 值 为 0。 在 这 个 时 候 ， WRB 4 1 lo 1 RA 
节点 知道 它 正 在 发 送 的 不 是 最 高 优先 
级 的 帧 ， 因 此 停止 发 送 〈 但 仍 在 监测 。， 
总 线 ， 且 在 当前 帧 发 送 完毕 后 ， 等 待 


总 线 变 为 空闲 ) 。 对 于 其 他 三 个 节点 ， 


仲裁 继续 进行 ， 直 到 发 送 第 五 个 标识 saw y fa fofi me 
符 位 ， 此 时 帧 标识 符 为 0x240 和 0 x 


250 的 两 个 节点 意识 到 它们 都 没有 最 ”图 13.3 使 用 多 个 通信 适配器 传输 的 总 线 值 
高 优先 级 的 帧 ， 于 是 仲裁 停止 。 然 
而 ， 帧 标识 符 为 0 x220 的 节点 可 以 继续 发 送 完整 的 帧 标识 符 。 当 这 个 完整 的 标 
识 已 经 发 送 ， 只 有 一 个 节点 知道 它 发 送 优先 级 最 高 的 帧 ， 且 其 他 所 有 节点 都 停止 
发 送 。 因 此 ， 节 点 可 以 继续 发 送 剩余 的 帧 ， 因 为 它 知道 在 总 线 上 不 存在 冲突 。 
CAN 依靠 CAN 仲裁 机 制 实 现 CSMAZCR ， 其 过 程 就 像 一 个 全 局 性 的 、 基 于 
优先 级 的 队列 。 值 得 注意 的 是 ， 任 何 时 候 ， 无 论 进 入 仲裁 的 节点 的 数量 有 多 少 ， 
仲裁 时 间 都 是 恒定 的 。 因 此 ，CAN 是 分 布 式 优先 级 队列 的 一 个 高 度 有 效 的 实施 。 
因此 ，CAN 的 行为 类 似 于 固定 的 优先 级 的 、 非 抢占 式 的 系统 ， 也 就 是 说 , 一旦 
一 个 节点 已 经 赢得 了 仲裁 ， 它 就 会 总 是 完全 传输 帧 ， 且 在 传输 过 程 中 任何 可 能 会 
到 达 的 更 高 优先 级 帧 都 必须 等 待 ， 直 到 本 次 传输 完成 后 的 下 一 个 仲裁 回合 开始 。 
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总 线 值 
+ 
标识 符 位 








标识 符 : S 
停止 发 送 

0x330=011 0011 0000 10011 

0x220 = 010 0010 0000 1001000100000 

0x250 = 010 0101 0000 1001001 

0x240 = 010 0100 0000 1001001 时 间 


总 线 值 1001000100000 





标识 符 位 








图 13.4 在 四 个 同步 帧 之 间 的 仲裁 


13.2.4 错误 检测 


CAN 中 错误 产生 的 原因 ， 可 能 是 操作 环境 中 的 电磁 干扰 (EMI) 、 不 同 采 样 
点 或 不 同 的 节点 上 的 开关 阔 值 ， 或 由 于 信和 号 在 传播 过 程 中 的 散射 。 为 了 处 理 这 些 
DL, CAN 协议 提供 了 精心 设计 的 错误 检测 和 自我 检查 机 制 !s]， 并 在 
1801189811! 数据 链 层 中 进行 了 规定 。 错 误 检 测 是 通过 基于 发 射 器 的 监控 、 位 填 
E, MAARE (CRC) 和 帧 校 验 来 完成 的 。 

为 了 确保 所 有 节点 有 一 致 的 看 法 ， 一 个 节点 所 检测 到 的 错误 必须 全 局 化 。 这 
是 通过 让 检测 节点 发 送 一 个 包含 6 个 相同 的 极 性 位 的 错误 标志 来 实现 的 。 一 且 接 
收 到 错误 帧 后 ， 每 个 节点 将 丢弃 这 个 错误 帧 ， 然 后 会 由 发 送 节点 自动 重新 传输 。 
需要 注意 的 是 ， 被 重 发 的 帧 可 能 在 重新 传输 过 程 中 受到 仲裁 。 这 意味 着 ， 在 当前 
帧 的 传输 过 程 和 发 错误 信号 过 程 中 ， 如 果 有 更 高 优先 级 的 帧 排队 ， 则 这 些 帧 将 在 
错误 帧 被 重新 发 送 之 前 发 出 。 

CAN 技术 文件 [1 声称 误差 检测 机 制 可 以 检测 、 全 局 化 所 有 发 送 的 误差 。 这 
可 以 保证 在 接收 需 一 侧 检测 到 一 个 长 度 多 到 15 的 脉冲 串 [这 等 于 按 CRC 序列 排 
列 函 数 所 zx) 的 自由 度 ]。 大 多 数 较 长 的 突 发 错误 也 能 被 检测 出 来 。 检 测 不 到 错误 
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的 概率 小 到 可 以 忽略 不 计 ， 按 照 CAN 技术 信息 [91 所 介绍 的 :“ 如 果 每 年 365 R, 
每 天 进行 8h 工作 ， 误 差 率 为 每 0.7s 一 次 ， 那 么 检测 不 到 的 错误 就 是 每 千年 才 会 
出 现 一 次 (统计 平均 值 )。” 近 来 已 经 有 研究 指出 CAN 对 于 超 高 可 靠 性 要 求 的 应 
用 局 限 性 ， 此 局 限 性 尤其 在 检测 不 到 的 多 位 误差 导致 的 严重 漏洞 中 以 及 对 CRC 
基本 假设 的 有 效 性 上 5 ( 见 第 6 章 ) 。 即 使 检测 不 到 的 误差 确 有 一 定 的 出 现 概 
率 ,， 但 为 了 简化 叙述 ， 我 们 仍然 假定 所 有 的 误差 都 可 被 检测 到 。 

错误 


a 重新 发 送 




















错误 标志 MÆR 错误 帧 间 
错误 标志 ”分 隔 符 空间 


图 13.5 CAN 中 误差 帧 的 格式 





图 13. 5 显示 了 CAN 误差 帧 的 格式 (详情 见 参 考 文献 [19] ) 。 由 此 可 以 看 
出 ， 发 送 误 差 信号 和 恢复 时 间 通 常 介 于 17 位 和 23 位 时 间 。 由 于 我 们 感 兴 趣 的 是 
最 坏 情 况 下 的 行为 ， 所 以 在 我 们 的 模型 中 我 们 将 用 23 位 时 间作 为 发 送 误差 信号 
和 恢复 时 间 。 


13.2.5 位 填充 


如 上 所 述 ，6 个 相同 极 性 的 连续 位 (111111 或 000000) 用 于 发 送 误差 信号。 
为 了 在 传输 帧 的 内 容 中 避免 出 现 这 些 特殊 的 位 模式 ， 在 每 出 现 5 个 相同 的 极 性 的 
连续 位 后 要 插入 一 个 相反 极 性 的 位 。 通 过 一 个 相反 的 步骤 ， 这 些 位 在 接收 器 端 被 
移 除 。 在 图 13. 6a ~ 图 13. 6d 中 描述 的 这 种 技术 被 称 为 “位 填充 ”， 它 意味 着 传 
输 的 位 的 实际 数 可 以 大 于 原始 帧 的 大 小 ， 它 对 应 在 分 析 中 需要 加 以 考虑 的 一 个 额 
外 的 传输 延迟 。 

让 我 们 观察 一 幅 CAN 帧 ， 根 据 CAN 使 用 的 格式 ， 在 CAN 帧 数据 部 分 旁边 、 
展示 位 填充 机 制 的 位 数 定义 为 ve |34，54| : 要 么 是 34 (CAN 的 标准 格式 ) , 
要 么 是 54 位 (CAN 的 扩展 格式 ) 。 注 意 ，CAN Wl (包括 3 位 帧 间 空 间 ) 中 的 13 
位 并 不 显示 出 填充 机 制 ( 见 图 13.7)。 

任意 位 流 在 最 坏 情况 下 的 填充 位 数 可 按 如 下 公式 计算 : 


ns(n) = [=] (13.1) 


其 中 , ne ici Pie, [a/b] 是 向 下 取 整 函数 的 标记 ， 该 函数 返回 值 为 小 于 
或 等 于 a/b 的 最 大 整数 。 直 观 地 说 ， 公 式 13. 1 描述 了 图 13. 8 中 所 示 的 最 坏 情况 
下 的 位 流 的 位 填充 。 需 要 注意 的 是 ， 在 该 案例 中 ， 一 个 位 一 旦 被 填充 ， 那 么 就 会 
产生 一 个 新 的 5 个 连续 位 〈 在 原始 位 流 中 不 存在 该 位 序列 ) ， 从 而 产生 另 一 种 填 
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充 位 ， 之 后 情况 不 断 重复 。 


0000010101111101000011110011111... 





a) 
000001101011111001000011111000111110... 
b) 
00000 Yon Yorooooy Yoon 
c) 
0000010101111101000011110011111... 
d) 


图 13.6 位 填充 案例 : 从 发 送 端 到 接收 端 
a) 位 填充 之 前 的 原始 帧 b) 位 填充 之 后 待 传输 的 帧 〈 填 充 位 用 黑体 表示 ) 
c) 在 接收 端 ， 位 填充 被 颠倒 ， 去 除 填充 位 d) 传输 的 帧 ， 与 原 帧 一 样 














展示 位 填充 的 位 (34 控 制 位 和 0~8 字 节 数 据 一 34~98 位 ) 
EE | 
| H Ips i CRCH 
if 仲裁 域 控制 域 > 数据 域 ， 或 rE 








T ROME 人 
T i E 己 知 的 位 什 ( 标 准 格式 数据 证 | 


图 13.7 服从 位 填充 的 位 (采用 CAN 标准 格式 的 数据 帧 ) 

















1111100001111000011110000111100001111... 


a) 
111110000011111000001111100000111110000011111... 


b) 


图 13.8 填充 位 时 的 最 坏 情况 
a) 位 填充 之 前 的 原始 帧 b) 位 填充 之 后 待 传输 的 帧 〈 填 充 位 用 黑体 表示 ) 








13.2.6 ” 帧 传输 时 间 


CAN 中 帧 i 的 “有 效 载 集 数 据 ” 的 字 节 数 被 定义 为 s, e [0，8]。 要 记得 
CAN 的 帧 可 以 包含 0 ~ 8 个 字 节 的 有 效 载 和 荷 数据 。 因 此 ， 参 考 13.2.5 节 和 图 
13.7， 利 用 如 下 公式 ， 可 用 ;给 出 位 填充 之 前 的 CAN 帧 的 总 位 数 ; 
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c; =v +13 +8s, (13. 2) 
其 中 ,> 和 13 分 别 是 CAN 帧 中 接受 和 未 接受 位 填充 机 制 的 控制 位 ; 8s; 是 有 效 载 
荷 数据 的 位 数 。 
S Th 为 总 线 上 所 谓 的 “位 时 间 ”， 即 发 送 1bit 信息 所 花费 的 时 间 。 现 在 ， 
考虑 到 CAN 帧 中 只 有 w+8s; 位 接受 位 填充 ， 最 坏 情 况 下 的 传输 给 定 帧 的 时 间 C, 
由 下 面 公 式 给 出 : 





c= (ot13 +8s+ [Yn (13.3) 
对 于 CAN 标准 帧 格式 (11 位 标识 符 ) ， 简 化 公式 (13.3) 43, 
C, = (55 +105;) Fy, (13. 4) 
而 对 于 CAN 扩展 帧 格式 (29 位 标识 符 ) ， 公 式 (13.3) 简化 为 : 
C; = (80 +105,) Tp, (13.5) 


13.3 CAN 调度 


除了 CAN 帧 仲裁 机 制 之 外 ， 提 出 了 一 些 CAN 的 帧 调度 策略 。 在 一 般 情况 
下 ， 这 些 调 度 策 略 可 以 分 为 三 种 : 时 间 驱 动 、 优 先 级 驱动 和 共享 驱动 调度 策略 。 

CAN 提供 物理 信号 、 媒 体 接 人 控制 (MAC) 以 及 寻 址 功能 〈 经 由 标识 符 ) 。 
它们 是 针对 通信 协议 的 开放 系统 互联 (OSL) 分 层 模 型 [3.441 的 两 个 最 底层 。 巾 
于 CAN 提供 的 服务 是 相当 基本 的 ， 它 只 能 提供 一 种 类 型 的 帧 调度 [ 即 固 定 优先 
级 调度 (FPS) ， 就 像 13. 2. 3 节 中 讨论 的 ] ， 所 以 在 CAN 的 基础 上 已 经 开发 了 几 
种 协议 ， 它 们 在 学 术 以 及 商业 领域 都 有 涵盖 。 

通过 引入 一 个 基于 CAN 运行 的 更 高 层 协议 ， 可 以 实现 许多 不 同 的 调度 。 根 
据 FPS 的 方法 ， 原 始 的 CAN 适合 于 处 理 周期 性 实时 通信 。 将 CAN 限制 于 一 个 周 
期 性 的 通信 模型 ， 时 序 分 析 可 以 很 容易 地 被 应 用 和 进行 调度 性 检查 。 然 而 ， 由 于 
FPS 调度 所 固有 的 局 限 性 ， 研 究 了 适应 性 以 允许 其 他 的 调度 策略 。 作 为 原始 CAN 
提供 的 固定 优先 级 机 制 的 替代 ，CAN 已 开发 了 一 些 更 高 层 的 协议 来 实施 优先 级 
了 驱动 的 动态 优先 级 调度 (DPS) 策略 [如 最 早 截止 优先 原则 (EDF) ] 、 时 间 了 驱 
动 调度 策略 以 及 共享 驱动 调度 策略 。 

CAN 的 时 间 驱 动 调度 策略 存在 几 种 选择 。 这 些 协 议 通常 实施 主 / 从 机 制 ， 在 
时 间 驱 动 的 模式 中 通过 一 个 中 央 主 节点 来 控制 网 络 。CAN 的 时 间 驱 动 调度 策略 
的 一 个 案例 是 TT - CANI], FTT - CANL: 同样 提供 时 间 驱 动 调度 策略 以 及 时 
间 驱 动 和 优先 级 驱动 调度 策略 相 结合 的 选择 。 关 于 这 些 调 度 策略 的 更 多 信息 ， 可 
以 参考 第 6 BAR, 

通过 控制 CAN 的 在 线 帧 标识 符 ， 并 因此 动态 改变 帧 的 优先 级 ， 人 们 已 经 提 
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出 几 种 方法 来 模仿 EDF 类 的 调度 策略 (31] 。 然 而 ， 通 过 控制 CAN 帧 的 标识 符 ， 
所 有 这 些 解决 方案 减少 了 系统 设计 人 员 使 用 的 可 能 的 标识 符 的 数量 。 但 这 可 能 会 
出 问题 ， 因 为 它 与 其 他 设计 活动 产生 干扰 ， 有 时 甚至 与 采用 的 标准 和 提出 的 建议 
相 冲 突 B32.31。 

CAN 发 送 非 实时 帧 的 一 种 常见 的 方式 是 分 配 优先 级 低 于 所 有 实时 帧 的 帧 标 
识 符 。 以 这 种 方式 ， 可 以 确保 非 实时 帧 在 不 超过 持续 一 帧 的 传输 时 间 内 阻止 实时 
帧 的 传输 。 然 而 ， 不 明智 的 非 实 时 由 标识 符 的 分 配 可 能 会 导致 这 些 帧 中 出 现 一 些 
承受 无 帧 可 传输 状态 。 为 了 向 非 实时 帧 提供 服务 质量 (QoS) ， 人 们 已 经 提出 了 
几 种 方法 4,51。 这 些 方 法 通过 防止 系统 性 处 罚 一 些 特定 的 帧 的 方式 ， 动态 地 改 
变 了 帧 标识 符 。 

通过 提供 CAN 共享 驱动 调度 策略 的 选择 ， 给 予 设计 师 更 多 的 自由 以 用 来 设 
计 分 布 式 实时 系统 ， 其 中 的 节点 通过 CAN 互联 。 与 时 间 驱 动 调度 策略 一 样 ， 共 
享 驱动 调度 策略 基于 CAN 的 运行 也 采用 主 / 从 机 制 ， 并且 根据 共享 驱动 的 调度 策 
略 来 调度 网 络 。 服 务 器 CANL36-38] 是 针对 CAN 的 一 个 共享 驱动 调度 器 。 有 关 服 
务 器 CAN 的 更 多 细节 ， 请 参阅 第 6 章 内 容 。 

对 照 本 章 内 容 ， 重 点 是 以 汽车 上 以 CAN 为 基础 的 系统 响应 时 间 计 算 。 因 此 ， 
上 面 列 出 的 大 多 数 的 调度 策略 应 该 仅仅 被 视 作 CAN 调度 程序 领域 的 有 关内 容 ， 
而 不 是 车 载 系统 使 用 的 调度 策略 类 型 。 在 本 章 其 余部 分 中 ， 我 们 关注 优先 级 驱动 
的 调度 策略 ， 它 是 最 自然 的 调度 策略 方法 ， 因 为 FPS 是 由 CAN 仲裁 机 制 实施 的 
策略 。 提 出 的 一 些 分 析 是 用 来 确定 CAN 帧 的 可 调度 性 [52JS。 这 种 分 析 是 基于 
CPU 调度 的 标准 FPS 响应 时 间 [39] 。 























13.4 ”调度 模型 





大 多 数 基于 CAN 的 系统 存在 硬 实时 要 求 ，CAN 由 于 其 向 帧 传输 提供 实时 保 
证 的 固有 属性 ， 因 而 用 于 通信 网 络 中 。 为 了 解释 单个 帧 传输 的 时 序 行为 ， 使 用 了 
可 预测 的 模型 。 在 13.5 节 中 ， 展 示 了 如 何 使 用 帧 响应 时 间 来 确定 一 个 基于 CAN 
系统 的 可 调度 性 。 本 章 中 所 使 用 的 模型 是 基于 帧 优先 级 、 帧 周期 、 帧 的 最 后 时 限 
以 及 帧 的 响应 时 间 。 

采用 CAN 帧 标识 符 ，CAN 的 帧 仲裁 机 制 可 提供 无 冲突 的 帧 传输 。 在 这 里 ， 
帧 的 优先 级 由 帧 标识 符 来 确定 ， 数 值 较 低 的 帧 标识 符 反 映 了 帧 的 较 高 优先 级 。 
CAN 的 帧 标识 符 是 固定 的 ， 帧 的 优先 级 也 随 之 固定 。 因 此 ， 可 用 i 同时 表示 某 一 
帧 的 优先 级 和 帧 标识 符 。 




















”原文 见 参 考 文献 [17，40，41] ， 并 在 参考 文献 [22] 中 修改 。 
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CAN 总 线 上 的 帧 传输 是 非 抢 占 式 的 。 当 CAN 总 线 发 送 帧 时 ， 总 线 处 于 繁忙 
状态 ， 直 到 完成 传输 帧 并 不 再 发 送 帧 时 ， 总 线 方 处 于 闲置 状态 。 只 要 总 线 一 空 
闲 ，CAN 帧 的 传输 就 可 以 启动 。 总 线 一 旦 变 为 空闲 ，CAN 仲裁 机 制 就 会 强制 传 
输 优先 级 最 高 的 可 用 帧 。 

对 于 本 章 中 介绍 的 分 析 内 容 ， 假 定 帧 以 一 个 周期 性 的 方式 产生 ， 也 就 是 产生 
任意 相同 帧 之 间 的 时 间 是 固定 量 。 因 此 ， 每 个 帧 与 帧 周期 7, 联 系 起 来 ，7, 即 同一 
个 帧 两 次 出 现 的 时 间 之 差 。 这 种 时 间 表 示 法 也 模拟 了 零星 的 帧 到 达 一 一 即 不 是 周 
性 生成 的 帧 ， 但 是 同一 帧 出 现时 刻 之 间 却 有 一 个 已 知 的 最 小 间隔 时 间 。 和 零星 的 
简单 地 表示 为 最 坏 情况 下 的 帧 到 达 模 式 对 应 于 周期 性 由 时间 (7,)， 它 等 于 相 
的 零星 帧 的 最 小 间隔 时 间 。 

由 于 帧 是 由 系统 中 节点 上 运行 的 软件 所 产生 的 ， 所 以 需要 考虑 一 个 用 以 应 付 
排队 和 中 断 延 迟 的 额外 时 间 。 事 实 上 ， 在 软件 节点 创建 帧 之 间 的 时 间 以 及 帧 在 
CAN 通信 适配器 中 的 可 用 时 间 ， 被 称 为 “排队 抖动 "。 假 定 这 个 时 间 由 ;约束 。 

每 帧 ; 都 具有 相关 的 帧 相对 时 限 ， 用 D, 表 示 。 帧 相对 时 限 指 在 该 时 限 之 前 ， 
帧 必须 已 经 完成 传输 ， 它 是 相对 于 该 帧 周期 有 开始 时 间 来 说 的 。 

最 后 一 点 ， 该 帧 的 最 坏 情 况 响应 时 间 REE EL ;完成 帧 传输 、 相 对 于 该 帧 
周期 7, 开始 时 间 所 需 的 最 长 的 时 间 。 若 RD;V i， 那么 该 系统 就 是 可 调度 的 。 


13.5 响应 时 间 分 析 























BS & 














计算 最 坏 情况 下 的 响应 时 间 需 要 有 界 的 、 最 坏 情况 下 的 帧 排队 模式 。 表 达 排 
队 模式 的 标准 方法 是 假设 一 组 交通 流 ， 每 组 流产 生 固定 的 优先 级 的 帧 。 每 组 流 最 
坏 工 况 下 的 特性 〈 网 路 负载 ) 是 传输 它们 被 允许 传输 的 尽 可 能 多 的 帧 数 ， 即 在 
它们 相应 的 通信 适配器 中 按 周 期 不 断 给 帧 排队 。 与 CPU 调度 类 似 ， 我 们 使 用 一 
组 交通 流 $ (对 应 于 传送 帧 的 CPU 任务 ) 作为 模型 。 每 组 流 Si s 5 可 表示 为 一 个 
元 组 <P;, Ti J;, G>, HP P, 表 示 优 先 级 (由 帧 标识 符 定义 )，7; 为 周期 ，/. 
为 排队 拌 动 ，C; 为 帧 i 的 最 坏 工 况 传 输 时 间 。 

本 节 介 绍 CAN 帧 在 交通 流 $; 传 输 的 最 坏 工 况 下 响应 时 间 届 ;的 两 种 计算 方法 。 
第 一 种 方法 是 一 个 简单 的 、“ 充 分 的 ”响应 时 间 测 试 。 第 二 种 方法 比 第 一 种 稍微 
复杂 一 些 ， 是 一 个 在 “ 充 要 的 ”最 坏 工 况 下 的 响应 时 间 测 试 。 

当 计算 的 所 有 可 调度 的 帧 确实 可 以 调度 时 ， 响 应 时 间 的 计算 测试 就 是 充分 
的 。 如 果 响 应 时 间 计 算 测试 是 充分 的 ， 但 “并 不 必要 ”， 这 意味 着 有 帧 被 视 为 不 
可 调度 ， 但 实际 上 有 可 能 可 被 调度 。 因 此 ， 尽 管 研 究 更 复杂 的 最 坏 情况 下 的 响应 
时 间 计 算 代价 较 高 ， 但 是 通过 使 用 最 坏 工 况 下 的 响应 时 间 测 试 ， 更 多 的 帧 可 以 归 
为 可 调度 帧 。 下 面 ， 我 们 用 “精确 啊 应 时 间 测 试 ”表示 CAN 中 充 要 的 最 坏 工 况 
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下 的 响应 时 间 测 试 。 

帧 通信 内 容 中 忙 时 周期 的 概念 2] 在 参考 文献 [22] 中 被 定义 为 一 段 时 间 间 
隔 ， 起 始 于 某 个 时 间 丰 ， 此 时 一 个 优先 级 为 i 或 更 高 的 帧 正在 排队 等 待 传输 ， 并 
且 在 时 刻 ## 之 前 完全 没有 这 样 的 帧 在 排队 等 待 传输 。 时 间 间 隔 是 连续 的 ， 阻 止 了 
传输 任何 优先 级 比 i 低 的 帧 ,间隔 止 于 时 间 e, ERTE 4* 之 前 完全 没有 优先 级 为 
i 或 优先 级 更 高 的 帧 在 排队 等 待 发 送 。 

忙 时 周期 的 一 个 关键 特点 是 : 在 该 周期 刚刚 结束 的 六 时刻 之 前 ， 排 队 的 任何 
优先 级 大 于 等 于 ;的 帧 ， 都 会 在 ; 级别 的 忙 时 周期 期 间 被 发 送 。 忙 时 周期 的 结束 
可 能 对 应 另 一 个 忙 时 周期 的 开始 。 

13.5.1 充分 响应 时 间 测 试 

一 个 帧 的 最 坏 工 况 响 应 时 间 是 在 由 关键 时 刻 [$1 开始 的 忙 时 周期 中 得 出 ， 该 

情况 下 所 有 优先 级 为 i 以 及 优先 级 更 高 的 帧 同时 在 其 对 应 的 通信 适配器 中 排队 。 


然后 正如 参考 文献 [22] 中 所 提 到 的 ， 帧 ;的 最 坏 工 况 响应 时 间 由 下 面 公式 











R,=J, +w; +C; (13. 6) 
其 中 ，J; 是 帧 i 的 排队 拌 动 ， 即 接 过 发 送 方 任务 (给 帧 排队 )、 相 对 于 该 帧 周 其 
的 开始 时 刻 7 的 排队 时 间 最 大 变化 量 ;，C; 是 帧 i 的 最 坏 工 况 传 输 时 间 (由 公式 
13. 3 给 出 ) ; wi 是 解 下 列 方程 得 到 的 排队 延迟 : 
wi = BMAX, D, tS + Tn wg (13.7) 
Vjehp(i) T; 
KEP, BM RN AT HERR EY CAN 帧 的 传输 时 间 ( 即 有 8 个 字 节 有 效 载 荷 数 据 的 
CAN 帧 的 最 坏 工 况 传输 时 间 ) ; hp Ci) 是 优先 级 高 于 帧 i 的 帧 的 集合 。 
注意 , 公式 〈13.7) 是 一 个 弟 推 关系 ,其 初始 值 可 以 选择 C, B w = Ci， 
H wp! =w? AJ, +w! +C;>D; 之 中 有 一 个 条 件 满足 或 两 个 条 件 均 满足 ， 递 推 
即 告终 止 。 只 有 后 一 个 条 件 为 假 时 ， 帧 才 为 可 调度 状态 。 


13.5.2 精确 的 响应 时 间 测 试 


对 于 许多 应 用 来 说 ,使 用 由 公式 13.6 中 R; 给 出 的 稍微 不 乐观 的 啊 应 时 间 计 
算 已 经 足够 了 。 然 而 ， 我 们 发 现 寻 找 的 帧 发 送 流 $ 中 确切 的 最 坏 工 况 下 响应 时 
间 ， 位 于 叫做 i 级 别 忙 时 则 期 之 中 。 具 体 来 说 ， 对 于 每 个 帧 i 都 要 在 其 忙 时 则 期 
内 计算 出 响应 时 间 !2] 。 在 帧 相对 应 的 忙 时 周期 之 内 ， 一 个 具体 的 帧 要 经 历 一 次 
或 多 次 的 最 坏 工 况 响应 时 间 R,。 因 此 ， 为 了 获得 确切 的 最 坏 工 况 的 响应 时 间 ， 
所 有 这 些 帧 的 响应 时 间 都 要 计算 一 下 。 
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首先 ， 级 别 为 ;的 忙 时 周期 长 度 4 由 下 列 递 推 关系 解 出 ， 其 中 初始 赋值 2 = 
C, EHe =e 时 递 推 中 止 ， 











Be SB + 





aS Me, (13.8) 


ecm Th 
HP, B AEWA ct FE PAR LSE A Mee CY fe BALE IN TH]; hep(i) 是 
Wi FCRAF EF Ww i 的 帧 的 集合 ; 是 帧 上 的 排队 拌 动 ， 即 接 过 发 送 方 任务 
(给 帧 排队 ) 、 相 对 于 该 帧 周期 的 开始 时 刻 7 的 排队 时 间 最 大 变化 量 ，C; 是 根据 
公式 (13.3) 推导 得 到 的 帧 的 传输 时 间 。 
现在 查看 某 一 个 特定 的 帧 i， 在 忙 时 周期 结束 之 前 准备 帧 传输 的 工 况 数 为 
Q;， 由 下 面 公式 给 出 . 











ti + J; 
Q; =| T | 

对 于 帧 i 的 每 个 工 况 数 (0，…，0; -1)， 都 必须 算出 相应 帧 的 最 坏 工 况 响 
应 时 间 。 让 g 代表 帧 的 工 况 ， 则 帧 工 况 数 为 g 时 的 最 坏 工 况 响应 时 间 由 下 面 公 式 
Ri(9g) 给 出 : 


(13.9) 


R;(q) =J,+w;(q) -qT; +C, (13. 10) 

其 中 ，w,(g) 代 表 有 效 排队 时 间 ， 它 由 公式 (13.11) 的 递 推 关系 给 出 ， 起 始 值 

YC) =0 且 当 w+! (q) =w (q) RA J, tw?! (q) -g7T,+C;>D; 时 ， 递 推 售 

止 ( 即 此 时 要 么 找到 一 个 最 坏 工 况 响应 时 间 ， 要 么 发 现 帧 不 可 调度 ) 。 在 公式 
(13.11) P, 7% 是 位 时 间 。 











aa) = Bitar SO AH ta, 
Vjehp(i) T; 

CEBER QDBIKTIARM RIIA A, AZERE 0, TRIM S 
最 长 最 坏 工 况 响应 时 间 就 可 由 下 式 给 出 : 


R; = max [R, (q) | (13. 12) 
q=0,...,Q;-1 


需要 注意 的 是 ， 这 种 精确 分 析 也 适用 于 帧 的 截止 时 间 大 于 周期 的 情况 ， 但 不 
适用 于 13. 5. 1 节 中 所 述 的 充分 响应 时 间 测 试 的 情况 。 


13.5.3 ”案例 


这 里 举 一 个 有 关上 述 分 析 的 案例 ， 以 阐述 它们 之 间 的 不 同 之 处 。 更 确切 地 
说 ,在 13.5.1 节 采 用 的 充分 响应 时 间 测 试 中 ， 包 含 三 个 帧 的 集合 5 被 认为 是 不 
可 调度 的 ,但 在 13. 5.2 节 中 采用 的 精确 响应 时 间 测 试 中 却 是 可 调度 的 。 

考虑 表 13. 1 中 列 出 的 帧 集合 。 系 统 的 基本 假设 是 总 线 速度 为 1Mbit/s， 即 
Toi 为 1us， 且 没有 排队 抖动 ， 即 对 所 有 帧 ， 都 满足 J=0。 所 有 的 帧 都 有 3 位 有 


(13. 11) 
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效 载荷 数据 ， 因 此 ， 根 据 公 式 (13.3) 得 到 C =75。 总 线 使 用 率 相当 高 ， 达 到 
97% 。 究 其 原因 是 强 推 一 个 对 于 充分 分 析 不 适合 的 细微 方案 ， 但 它 却 可 以 被 精确 
分 析 捕 提 到 。 
13.5.3.1 充分 响应 时 间 测 试 
充分 响应 时 间 测 试 一 开始 ， 对 于 每 个 帧 i 我 们 使 用 公式 (13.7) 计算 w， 
并 使 用 公式 (13.6) 计算 R,， 过 程 如 下 [回顾 一 下 , 公式 (13.7) ERES 
W, Hwt! =w 时 递 推 停止 ] : 
w? =0, wl =75, w? =75 
R, =150 
w9 =0, w} =150, w3 =150 
R, =225 
wy =0， =225, w3 =300, wł =375, w4 =450, w3 =450 
R; =525 
上 述 结果 说 明 帧 1 和 2 MAE, B R <D, H R, <D, SRM, R >D RHH 
过 了 截止 时 间 。 因 此 ， 帧 集合 $ 被 认为 不 可 调度 。 
表 13.1 帧 集合 分 析 




















Wi i P, T; D; C; 
1 1 187.5 187.5 75 
2 2 262. 5 262. 5 75 
3 3 262. 5 262. 5 75 


13. 5.3.2 精确 响应 时 间 测 试 

相反 ， 使 用 13.5.2 节 中 的 精确 分 析 ， 上 述 集合 $ 事实 上 是 可 调度 的 。 为 了 
证 明 这 一 点 ， 我 们 使 用 公式 (13.8) ~ 公式 (13.12) 来 计算 全 部 三 个 帧 的 帧 响 
应 时 间 。 

首先 ， 使 用 公式 (13.8) 计算 每 个 级 别 为 i 的 帧 忙 时 周期 并 用 公式 
(13.9) 来 确认 在 忙 时 周期 内 ， 该 帧 是 否 有 多 种 工 况 出 现 。 如 果 确 实 如 此 ， 则 用 
公式 (13.10) 和 公式 (13.11) 来 计算 出 帧 所 有 出 现 工 况 的 啊 应 时 间 ， 并 通过 
公式 (13. 12) 在 这 些 情 况 中 选 出 最 大 响应 时 间 。 

Swe 1 开始 ， 我 们 用 公式 13. 8 计算 得 到 级 别 为 ;的 忙 时 周期 分 别 为 如 =75， 
t =150, 1 =150, RE, 根据 公 式 (13.9) 知 Q, =1。 因 此 ,在 帧 1 的 1 RIE 
时 周期 内 ， 只 有 一 种 出 现 情 况 。 针 对 这 种 情况 ， 我 们 用 公式 (13.10) 和 公式 
(13.11) 来 计算 响应 时 间 : 
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w (0) =0, w! (0) =75, w? (0) =75 
R, (0) =150 
对 于 帧 2， 我 们 用 公式 (13.8) 重复 相同 的 过 程 ， 计 算出 : 9 =75, = 
225, t =300, B =375, ý =450, 8 =450。 
因此 根据 公式 (13.9) 得 到 0, =2， 即 帧 2 AY 2 级 忙 时 周期 内 共有 两 种 情况 
出 现 。 这 里 我 们 要 用 公式 (13.10) 和 公式 (13.11) 来 计算 这 两 种 情况 的 响应 
时 间 ， 并 用 公式 (13.12) 选 出 最 大 值 : 
w? (0) =0, wh(0) =150, w3(0) =150 
R,(0) =225 
w3(1) =0, w3(1) =225, wi(1) =300, w3(1) =300 
R,(1) =112.5 
R, =225 
最 后 在 帧 3 的 3 级 忙 时 周期 内 也 有 两 种 情况 出 现 : 由 = 75, t =225, t= 
300, #3 =450, 1 =525, 与 =525 并 且 Q, =2。 
根据 与 帧 2 相同 的 推理 过 程 ， 响 应 时 间 计 算 如 下 ; 
w? (0) =0, wt (0) =150, w2(0) =150 
R;(0) =225 
w(1) =0, wh(1) =225, w3(1) =300, w3(1) =375, wi(1) =450, w3(1) =450 
R;(1) =262. 5 
R, =262.5 
对 以 上 过 程 总 结 如 下 : 当 我 们 使 用 精确 分 析 而 不 使 用 充分 分 析 ，R SD, 
已 太太 ,上 且 忆 大 及时， 整个 帧 集合 为 可 调度 。 充 分 分 析 更 加 迅速 ， 因 为 它 要 求 
完成 的 计算 更 少 。 在 绝 大 多 数 情况 下 与 精确 分 析 相 比 ， 充 分 测试 提供 相同 的 可 调 
度 帧 集合 。 然 而 存在 像 上 述 实例 中 的 情况 ， 只 有 通过 精确 分 析 才 能 显示 出 帧 集合 
实际 上 是 可 调度 的 。 























13.6 ”时 序 分 析 综 合 误差 影响 


前 面 介绍 的 基于 基本 CAN 响应 时 间 分 析 的 模型 假定 通信 总 线 无 误差 ， 即 所 
有 发 出 的 帧 都 假定 为 被 正确 接收 ， 但 实际 上 这 种 情况 不 可 能 总 是 发 生 。 比 如 说 ， 
像 在 汽车 中 的 一 些 应 用 中 ， 系 统 经 常 从 操纵 环境 中 受到 高 强度 的 电磁 干扰 
(EMI) ， 这 可 能 会 导致 CAN 总 线 上 的 传输 误差 。 造 成 这 些 干 扰 的 常见 原因 包括 : 
手机 以 及 车 内 其 他 的 无 线 设 备 ; 像 开 关 、 继 电器 和 倒车 雷达 之 类 的 电 融 设备 ; 来 


353 


ooo 汽车 嵌入 式 系统 手册 


自 车 外 部 的 无 线 传输 ; 闪电 等 。 完 全 消除 EMI 的 影响 是 不 可 能 的 ， 因 为 我 们 不 
知道 所 有 这 些 干 扰 的 准确 特征 。 虽 然 全 光纤 网 络 的 使 用 可 以 大 大 消除 EMI 问题 ， 
但 它 没有 受到 成 本 意识 至 上 的 汽车 行业 的 青睐 。 

这 些 干 扰 会 对 被 传输 的 数据 造成 误差 ， 并 间接 导致 灾难 性 的 后 果 。 为 了 降低 
灾难 性 后 果 出 现 的 风险 ，CAN 的 设计 人 员 在 协议 中 提供 了 精心 设计 的 误差 检查 
和 约束 功能 。 这 些 功能 的 基本 理念 是 尽 可 能 快 地 识别 出 误差 ,并且 重新 传输 因 误 
差 受 到 影响 的 帧 。 然 而 ， 这 将 增加 帧 的 延迟 时 间 ， 这 可 能 会 导致 帧 错过 截止 时 
间 ， 尤 其 是 在 执行 调度 分 析 中 如 果 此 干扰 与 最 坏 工 况 下 的 帧 传输 方案 相 一 致 。 如 
果 通 信介 质 / 控 制 器 没有 空间 宛 余 ， 系 统 就 会 出 现 问题 ， 而 且 使 用 的 容错 机 人 制 仅 
仅 是 时 间 宛 余 ， 这 会 增加 可 能 的 帧 集合 的 延迟 ， 还 可 能 导致 违反 系统 的 时 序 
要 求 。 

因此 , 在 13.5 节 中 介绍 的 最 坏 工 况 响 应 时 间 的 计算 必须 扩展 ， 以 用 来 处 理 
通道 中 出 现 的 各 种 误差 造成 的 影响 。 多 年 以 来 ， 人 们 提出 了 许多 误差 模型 和 修正 
的 响应 时 间 分 析 。 第 一 个 误差 模型 由 丁 达 尔 等 !] 提出 ， 然 而 该 模型 仅仅 模拟 了 
周期 性 干扰 。 

13.6.1 简单 误差 模型 

假设 有 一 个 简单 误差 模型 ， 我 们 可 以 用 一 个 函数 R(t) 来 表示 在 一 个 时 间 间 
隔 上 之 内 模型 中 出 现 误 差 的 最 大 数量 ， 我 们 由 此 可 以 把 上 述 的 响应 时 间 计 算 扩展 
到 处 理 故障 的 层面 。 回 想到 一 个 误差 的 最 坏 工 况 的 含义 是 一 个 长 达 23 位 的 误差 
帧 的 传输 〈 见 13. 2.4 节 ) 。 在 误差 帧 出 现 后 ， 受 到 误差 影响 的 帧 也 会 被 CAN 通 
言 适 配 硕 重新 传输 。 因 此 ， 对 于 一 个 特定 的 帧 i， 在 长 为 二 的 时 间 间 隔 内 ， 由 误 

影响 产生 的 最 大 延迟 可 由 下 面 公式 给 出 : 

Ei(t) = [237% i (GG) (13. 13) 
其 中 ，hep( 引 是 优先 级 高 于 或 等 于 帧 i 的 帧 的 集合 。 
13. 6.2 修正 响应 时 间 分 析 


假设 由 公式 (13.13) 给 出 误差 模型 ,为 了 避免 误差 , 我们 可 以 对 公式 
(13.7) 和 公式 (13. 11) 进行 一 个 简单 修改 ， 修 改 后 公式 如 下 : 


wht! = E,(w? +C,) + BMX F cs oe, (13. 14) 
Vjehp(i) T, 


























以 及 





wi (q) = E(w +C;) +B; +qC;+ >, ele 
Vjehp(i) T, 


(13.15) 
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我 们 重新 审视 这 些 递 推 公式 ， 初 始 值 分 别 设 定 为 好 = C; 以 及 wi (q) = Cio 
它们 与 公式 (13.7) 和 公式 (13. 11) 的 递 推 终止 条 件 相 同 ， 而 且 如 果 网 络 利用 
率 (包括 误差 恢复 占用 ) 小 于 100% ， 那 么 两 个 递 推 公式 一 定 收敛 [2 。 


13. 6.3 广义 确定 性 误差 模型 


前 面 提 到 的 误差 模型 非常 简单 ， 因 此 这 样 是 不 适合 用 于 描述 真实 误差 的 。 当 
确认 一 个 与 EMI 有 关 的 系统 时 ， 我 们 需要 考虑 多 种 误差 的 来 源 。 仅 仅 把 每 个 来 
源 分 开 处 理 是 不 够 的 ， 取 而 代 之 ， 要 把 它们 综合 起 来 ， 考 虑 一 个 关于 总 线 延迟 共 
同 造 成 的 最 坏 工 况 干扰 。 此 外 ， 每 一 个 源 通常 可 以 通过 或 短 或 长 的 脉冲 的 信和 号 模 
式 来 表征 ， 在 此 期 间 总 线 是 不 可 用 的 ， 即 在 总 线 上 不 可 能 有 信号 传输 。 

广义 确定 性 误差 模型 由 普 内 卡特 等 [4 提出 ， 它 具有 以 下 特征 : 

。 模拟 总 线 不 可 用 时 段 期 间 的 干扰 时 间 间 隔 ; 

。 与 丁 达尔 的 误差 模型 相 比 ， 人 允许 指定 更 多 的 广义 干扰 模式 ; 

。 允许 模拟 多 种 干扰 源 的 合并 影响 。 

根据 广义 确定 性 误差 模型 ，E,(1) 基 于 以 下 几 点 定义 : 

。 有 个 干扰 源 ， 每 个 干扰 源 1 对 误差 的 贡献 项 为 E'(1)。 它 们 的 合并 影响 
为 : E(t) =EL) (EF (4) 1... EtG), EP | 表示 误差 项 合并 记号 。 本 章 一 般 不 
用 加 号 ( + ) 来 表示 误差 项 的 合并 。 

。 每 个 源 1 通过 在 一 个 特点 的 时 间 周 期 1 诱导 一 个 未 定义 的 总 线 值 来 产生 干 
扰 。 每 个 这 样 的 干扰 都 会 导致 传输 误差 。 若 7 大 于 rm ， 则 误差 恢复 会 相应 地 被 
延迟 。 

。 每 个 源 1 的 干扰 模式 可 独立 规定 为 : 

-周期 为 Ti 的 初始 脉冲 组 六 ， 其 中 每 组 由 长 度 为 下 、 周 期 为 鼠 的 性 个 干扰 。 

-在 最 初 一 组 脉冲 、 即 六 * 74 之 后 ， 每 x 单位 时 间 、 长 度 为 的 单一 干扰 
的 残余 误差 率 。 

图 13. 9 展示 的 是 一 个 b=4、n! =3 的 单一 干扰 源 的 干扰 模式 。 

现在 无 (定义 为 天 个 干扰 源 ; 





























E,(t) =E! (t) 1E? (t)1... LEF(t) (13.16) 
其 中 
E! (t) = Bu! (t) * [0 +max(0, 下 -TD)]+Re( * [Qi + max(0, I - Tpi) ] 
(13.17) 
其 中 
l 
Bu’ (t) = min(n! «Bt lw (13. 18) 
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图 13.9 Po =4 Nika, AKIE n! =3 个 干扰 的 单一 干扰 源 的 干扰 模式 ， 
其 下 面 是 每 小时 间 单位 的 单一 干扰 的 残余 误差 率 



































以 及 





_ Tl x pl 
Re!(t) = max{ of 5 : | (13. 19) 
f 


以 下 给 出 一 些 说 明 : 

max(0,/' -T uO EXT TE rpa WEE; 

nl *b! 是 最 初 脉冲 周期 内 产生 的 最 大 干扰 数 ; 
LWT 是 到 4 时 刻 为 止 产生 的 全 部 脉冲 数 ; 

l 
[O ete AAS AR (不 完整 周期 ) 的 、 长 为 六 的 

f 
周期 的 数目 。 

在 上 面 (1) 的 公式 中 ， 该 模型 使 用 不 同 的 上 角 标 来 表示 脉 串 ( 0;) 和 单一 
误差 (01) 。 用 不 同上 角 标 因素 来 表示 的 优点 在 于 :如 果 这 些 因素 已 知 ， 那 么 模 
型 会 变 得 更 加 精确 。 这 会 减少 尤其 是 在 脉冲 条 件 为 0 > 乡 时 的 不 利 因素 ， 因 为 
在 这 种 情况 下 我 们 可 以 把 几 个 脉冲 误差 合并 成 为 一 个 误差 ， 再 加 上 脉冲 宽度 
(Qi +nl* 的 。 然 而 ， 对 于 许多 实际 的 应 用 以 及 在 系统 设计 中 ， 人 们 会 假定 脉冲 
误差 和 单一 误差 的 上 角 标 相同 ， 都 用 0; 表 示 ， 并 由 下 面 公式 给 出 : 

0; =23 * Ty, + ymax, |, (Cx) (13. 20) 

容易 知道 ， 丁 达尔 模型 是 广义 误差 模型 的 特例 ， 有 1 个 误差 源 Ck = 1) 1 
个 原始 脉 串 (5'=1) 、 带 有 脉冲 误差 数 为 4.6。。[ Bai(t) = Meroe] x th = Tu 以 及 
干 护 数 = 五 =7。 然 而 ， 在 丁 达 尔 的 模型 中 ， 未 规定 具体 干扰 (7) 持续 时 
间 ， 也 没有 规定 脉冲 组 的 参数 (六 和 2) 。 


13.6.4 概率 误差 模型 


丁 达 尔 等 的 模型 以 及 普 内 卡特 等 的 模型 都 是 基于 一 个 最 小 到 达 间 隔 的 假设 ， 
即 在 指定 间隔 内 存在 有 限 的 误差 数 。 但 是 ， 若 干 种 干扰 源 例如 EMI， 可 以 被 精确 
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描述 为 遵守 某 一 指定 概率 分 布 [$1 的 随机 脉冲 。 使 用 最 小 间隔 时 间 来 表示 这 种 干 
扰 并 不 容易 ， 而 使 用 概率 学 方法 会 更 恰当 。 

纳 维 等 1%] 提 出 了 CAN 的 概率 误差 模型 ， 其 中 的 误差 用 随机 过 程 来 描述 。 这 
些 过 程 既 考虑 误差 出 现 的 频率 ， 也 考虑 它们 的 权重 。 无 论 是 单个 数位 的 误差 还 是 
误差 脉冲 ， 它 们 都 可 以 表示 出 来 。 

然而 ， 由 于 纳 维 等 1%| 提 出 的 方法 很 糟糕 ， 布 罗斯 特等 ”虽然 未 考虑 脉冲 
误差 .但 还 是 提出 了 一 种 更 精确 的 概率 学 方法 。 使 用 布 罗 斯 特等 的 方法 ， 当 系统 
中 出 现 概 率 事件 时 ， 例 如 由 EM 产生 的 误差 [8 ， 我 们 就 可 以 得 到 最 坏 工 况 响应 
时 间 的 分 布 。 

汉 森 等 "93 史 则 提出 了 一 种 完全 不 同 的 方法 。 这 里 用 模拟 法 确定 系统 的 可 调 
度 性 。 使 用 模拟 法 ， 我 们 可 以 使 用 甚至 更 加 复杂 的 干扰 源 ， 并 获得 相对 于 上 述 分 
析 方 法 更 加 实际 的 结果 。 然 而 ， 使 用 模拟 法 的 缺点 在 于 : 对 于 考虑 的 应 用 ， 我 们 
很 难 确 定 模拟 是 否 收敛 足够 好 。 


13.7 整体 分 析 


本 节 将 介绍 在 一 个 包含 “ 端 至 端 ” 的 时 序 要 求 的 分 布 系统 中 怎样 应 用 13. 5 
节 中 所 讲述 的 CAN 分 析 方 法 。 假 设 分 布 系统 有 许多 通过 CAN 总 线 互 联 的 节点 。 
在 节点 上 ， 会 执行 许多 任务 ， 并 受 预先 抢占 式 固定 优先 级 实时 调度 器 的 调度 。 时 
序 要 求 可 以 按照 任务 等 级 确定 ， 其 中 任务 响应 时 间 必 须 小 于 任务 的 截止 时 间 ; 也 
可 以 按 端 至 端 要 求 决定 ， 其 中 响应 时 间 从 某 一 节点 上 任务 开始 算 起 ， 到 另 一 节点 
任务 完成 结束 。 在 这 里 ， 第 一 个 节点 的 任务 是 传输 一 个 帧 ， 触 发 第 二 个 节点 的 任 
务 开始 。 接 下 来 介绍 使 用 整体 分 析 ， 确 定 完成 此 类 要 求 5 。 


13.7.1 属性 继承 


整体 分 析 的 主要 特征 之 一 是 来 自 于 属性 继承 的 想法 : 某 一 事件 唤起 一 个 任 
务 ， 在 一 段 时 间或 本 身 全 部 任务 执行 时 间 之 后 ， 该 帧 会 排 了 从。 事件 一 结束 ， 帧 就 
会 立刻 被 排队 〈 例 如 : 如 果 没 有 更 高 优先 级 的 任务 ， 为 帧 排队 所 需 的 执行 时 间 
就 会 很 短 ) 。 帧 在 如 下 情况 下 会 在 事件 之 后 排队 : 从 发 送 任务 的 角度 看 ， 发 生 了 
最 坏 工 况 调度 情况 。 最 长 与 最 短 排队 时 间 的 差 叫 做 排队 拌 动 。 为 了 简化 计算 ,我 
们 可 以 使 用 0 作为 最 短 排队 时 间 。 最 长 排队 时 间 的 上 边界 由 排队 任务 的 最 坏 工 况 
响应 时 间 来 确定 。 因 此 ， 帧 i 的 排队 拌 动 可 由 如 下 公式 给 出 : 

Ji = 及 na) (13. 21) 
Hp, send (i) 表示 发 送 帧 i 的 任务 。 
假设 帧 到 达 节 点 时 任务 发 布 。 那 么 ， 此 任务 以 和 作为 从 发 送 任务 中 继承 排队 
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封 动 的 帧 同样 的 方式 ， 从 帆 那 里 继承 发 布 拌 动 。 帧 ;能够 到 达 目 的 处 理 器 的 最 时 
时 间 是 47 位 时 间 (最 小 的 帧 为 47 位 长 ) 。 而 帧 ;到 达 目 的 处 理 需 的 最 晚 时 间 用 
及 ;表示 。 因 此， 目标 任务 dest(i) 继承 发 布 拌 动 可 用 下 式 表示 : 
Jasc = Ri - 477 yi (13. 22) 
任务 dest(i) 状态 的 最 坏 工 况 响应 时 间 Reend(i) 在 事件 派送 任务 开始 的 send 
(i) 之 后 的 47rm 时 间 开 始 测算 。 所 以 ， 时 间 47rwn + Roc) 给 出 了 从 事件 派送 任 
务 开始 的 send(i) 到 任务 结束 的 dest(i) 为 止 的 端 至 端 时 间 。 


13.7.2 整体 调度 问题 


给 出 任务 的 最 坏 工 况 响应 时 间 的 公式 取决 于 帧 到 达 处 理 器 的 时 序 属性 〈 例 
如 ， 由 帧 到 达 引 发 的 任务 的 发 布 拌 动 继 承 自 帧 的 最 坏 工 况 响 应 时 间 ; 从 “到 达 
帧 ”中 断 产 生 的 损失 也 依赖 于 流入 帧 的 最 坏 工 况 响 应 时 间 ) 。 因 此 ， 在 总 线 调度 
分 析 之 前 不 能 实现 处 理 需 的 调度 分 析 。 但 是 ， 给 出 帧 的 最 坏 工 况 响 应 时 间 的 公式 
也 取决 于 为 帧 排队 的 任务 的 时 序 属性 (例如 ,被 某 一 任务 排队 的 帧 的 排队 拌 动 
继承 自 帧 的 最 坏 工 况 响 应 时 间 )。 这 样 ， 在 处 理 带 调度 分 析 之 前 也 无 法 实现 总 线 
调度 分 析 。 

总 之 ， 在 总 线 调度 分 析 之 前 不 能 实现 处 理 器 的 调度 分 析 ， 反 之 亦 然 。 该 问题 
与 13.5 市 的 递 推 公式 很 相似 ， 其 中 的 R, 在 几 个 公式 的 两 边 都 出 现 。 

首先 ， 假定 所 有 计算 的 时 序 属性 (RAJ) 为 0。 然后， 两 种 分 析 的 组 合 都 
可 以 应 用 〈 针 对 处 理 咒 和 总 线 ) ， 以 获得 新 的 数值 。 紧 接着 ， 使 用 新 获得 的 数值 
重复 进行 分 析 。 这 样 的 迭代 会 持续 下 去 ， 直 到 计算 值 不 再 变化 。 


13.7.3 案例 


考虑 一 个 包含 两 个 用 CAN 互联 的 节点 (节点 A AB) 的 简单 分 布 的 实时 系 
统 。 节 点 A 上 执行 三 个 任务 TA, TAF 743， 节 点 B 上 执行 三 个 任务 TB, TB, 
和 7B3。 节 点 A 上 的 任务 TA, FH CAN Wi (Mpa) 的 到 达 而 激活 ， 且 帧 (Mj) 
是 由 节点 B 上 的 任务 7B1 排 队 的 。 对 称 地 ， 节 点 B 上 的 任务 TB, 由 CAN Wi 
(Mie) 的 到 达 而 激活 ， 且 帧 (Mp) 是 由 节点 A 上 的 任务 TA 排队 的 。 后 一 
帧 比 前 一 帧 的 优先 级 更 高 ， 但 两 帧 的 优先 级 都 比 总 线 上 发 送 的 低 优先 级 CAN 帧 
要 高 。 图 13. 10 描述 了 这 个 案例 。 在 表 13.2 中 ,分 别 给 出 了 相对 于 任务 TB 和 
TA, 发 布 ， 任 务 74; 和 7B, 的 截止 时 间 。 

为 了 计算 端 至 端 响应 时 间 ， 我 们 使 用 3 组 耦合 方程 : 一 个 方程 针对 CAN 总 
Be, 一 个 方程 针对 每 个 节点 。 节 点 的 基本 方程 为 : 

R, =J, +w, (13.23) 
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图 13. 10 “案例 系统 


表 13.2 案例 系统 参数 





Es O War ORo BRETT 
TA, 100 = 3 7 
TA, = 100 一 5 
TA, 50 25 2 10 
TB, 80 = 2 6 
TB, = 100 = 5 
TB, 50 25 2 10 


其 中 w, 由 下 式 给 出 : 





二 (13. 24) 
Vjehp(i) T; 
针对 CAN 总 线 的 方程 如 下 : 
R,=J, +0; +; (13.25) 
FA w, 由 下 式 给 出 : 
w=B+ X, [tt tue, (13. 26) 
Vjehp(i) T, i 


按照 表 13.2 中 的 案例 系统 ， 以 上 两 个 方程 得 到 实例 化 。 要 决定 的 第 一 件 事 
就 是 对 在 这 两 个 节点 上 运行 任务 的 优先 级 进行 排序 ， 在 这 个 案例 中 使 用 了 截止 单 
调 优先 分 配 算法 [1 (优化 算法 可 以 在 文献 [22] 中 找到 ) 。 然 而 ， 所 有 的 截止 
时 间 都 未 知 ， 因 为 它们 取决 于 系统 部 分 的 时 序 行为 。 因 此 ， 在 某 些 情况 下 必须 使 
用 最 初 未 实例 化 的 变量 。 观 察 未 知 截 止 时 间 Dm ， 通 过 向 节点 B 发 送 CAN Wi 
My gp,， 任 务 TA, 结束 。 该 帧 将 派发 任务 7B, ， 它 相对 于 任务 TA 的 派发 有 长 为 
100 的 截止 时 间 。 由 此 ，Dm 可 定义 如 下 : 

Dr, =100 - Rrg, - Ru, 
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FU, Ry, ,是 CAN WA TA, 发 送 到 7B; 的 最 坏 工 况 响应 时 间 。 
类 似 地 





Drg, =100 - Ra, 一 Ruy, 
JE, Ry, ,是 CAN WA TB 发 送 到 74, 的 最 坏 工 况 响 应 时 间 。 
未 知 任务 拌 动 /nu 取决 于 帧 Ri ， 到达 的 变化 量 ， 即 : 
Jra, = Rung —ATT yi 
其 中 ，477w% 和 Ry, ， 分 别 是 最 小 和 最 大 帧 响应 时 间 (相对 于 任务 TB, 的 派送 ) 。 
相似 地 





Jre, =Ru, 5, 一 47Tbi 
ER 13. 2 中 唯一 剩余 的 未 知 量 就 是 任务 TA A TB, 的 周期 了 。 由 于 它们 都 是 
由 周期 已 知 的 任务 (7B 和 TA) 启动 ， 所 以 它们 会 继承 这 些 任务 的 周期 ， 即 
Tra, =80 以 及 Trp, =100。 
使 用 上 述 定义 的 参数 ， 从 节点 A 开始 的 可 调度 性 方程 可 定义 如 下 : 
Rra, =3 + wr 
= w; +J; 
wm, =7+Bm + > ile; 
Vjehp(i) T; 
Br, =0 
Jra, = Ry, nu =47 Ti 


Ry, =Jra, ter, 








roy A 
Wy, = 5 + Bry, + >, 一 2]c 
Vjehp(i) T, 


Rra, =2 + WTA, 





w; + J; 
wra, = 10 + Bry, + | ile, 
Vjehp(i) T, 


针对 节点 B 任务 的 方程 与 节点 A 的 对 称 : 
Rye, =2 + Wp, 
wrp, = 6 + Brg + > a 
wem" T; 
Brp, =0 
Jre, =Ru, ,, 一 477bi 


Rrg, =J 1p, + re, 





Ie 





w; + J; 
wrp, = 5 + Brg, + 2 | l ile, 
Vjehp(i) T, 
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Rrp, =2 + wrp, 





w; + J; 
w, = 10+ Br, + 5 [Ett] 
Vjehp(i) T; 


最 后 组 成 CAN 总 线 的 方程 : 


以 上 是 一 组 可 以 用 迭代 法 解 出 的 互相 依赖 的 方程 ， 即 如 果 初 始 时 把 所 有 变量 
Rr. Rias Rra, Tres Tre,» Tre. Ru, p % Rm, ,设置 为 0， 并 在 方程 中 送 代 
使 用 这 些 值 ， 就 可 以 获得 新 变量 值 。 和 迭代 停止 的 条 件 既 可 以 是 所 有 的 新 值 都 与 上 
一 次 的 值 相等 (意味 着 发 现 系 统 可 调度 ) ， 或 是 超过 了 任意 一 个 截止 时 间 (可 能 
意味 着 系统 不 可 调度 ) 。 注 意 优先 级 会 根据 截止 单调 优先 分 配 算 法 51 而 更 新 ， 
因此 在 迭代 过 程 中 ，hp(i) 可 能 会 改变 。 更 多 关于 整体 调度 问题 的 资料 和 解法 ， 
详 见 参考 文献 [53 - 55]。 


13.8 ”中 间 件 和 帧 封装 


13.7 节 中 介绍 的 整体 分 析 通 常 在 工具 方面 对 实施 情况 进行 要 求 ， 其 目的 在 
于 计算 CAN 总 线 的 可 调度 性 。 然 而 , “整体 系统 设计 ”的 一 个 弱点 在 于 ， 任 务 
触发 了 帧 的 传输 ，( 一 旦 传输 ) 又 反 过 来 触发 任务 的 释放 ， 然 后 任务 又 会 触发 帧 
的 传输 ， 一 直 这 样 循环 下 去 。 虽 然 这 种 设计 适合 于 某 些 应 用 ， 但 其 中 的 计算 取决 
于 任务 执行 与 帧 传输 之 间 的 互相 依赖 的 复杂 性 ， 因 此 有 时 会 很 麻烦 。 为 此 ， 使 用 
中 间 件 技术 消除 任务 与 帧 之 间 的 互相 依赖 关系 就 不 足 为 奇 了 。 

当 构 建 分 布 式 汽车 应 用 程序 时 ， 程 序 会 发 送 和 接受 基本 信息 单元 一 一 称 作 信 
号 。 当 应 用 程序 读 取信 号 时 ， 这 个 信号 可 能 在 很 遥远 的 位 置 产 生 ， 但 通过 网 络 可 
以 达到 该 位 置 。 对 信和 号 阅读 者 来 说 ， 利 用 中 间 件 可 以 使 得 该 过 程 变 得 透明 。 一 般 
来 说 ， 信 和 号 都 会 有 一 个 有 限 的 存在 时 间 ， 就 是 说 信号 产生 一 段 时 间 后 会 失效 ， 这 
也 就 是 说 ， 信 号 对 于 数据 的 新 鲜 程 度 有 要 求 。 信 号 的 尺寸 非常 小 ， 例 如， 只 有 1 
个 字 节 的 值 ， 但 这 不 足 为 奇 。 因此， 由 于 低 资 源 使 用 的 严格 要 求 ， 我 们 会 把 多 路 
信号 封装 进 1 个 CAN 帧 中 。 于 是 ， 帧 封装 算法 就 可 以 与 13. 5 节 中 介绍 的 响应 时 
间 分 析 联 系 在 一 起 使 用 ， 目 的 是 为 这 些 帧 寻找 合适 的 周期 与 优先 级 ， 以 满足 信号 
对 于 数据 新 鲜 程 度 的 要 求 。 这 些 用 工具 实施 的 算法 与 适当 中 间 件 技术 联合 起 来 ， 
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为 汽车 应 用 程序 提供 了 新 鲜 的 信号 数据 和 最 小 化 的 带宽 占用 。 

例如 ， 沃 尔 沃 公司 使 用 的 此 类 工具 和 中 间 件 是 火山 概念 造型 215 -3 。 关 于 
帧 封装 是 如 何 进行 的 更 多 信息 ， 详 见 参考 文献 [60，61] 。 期 望 大 规模 应 用 的 中 
间 件 现在 AUTOSAR 计划 2 下 研发 ( 见 第 2 章 ) ， 并 且 通 过 使 用 适当 的 设置 工具 ， 
中 间 件 的 实时 确认 功能 也 成 为 可 能 。 其 他 一 些 中 间 件 ， 包 括 J1939'°! 以 及 CANo- 
peni3] ， 不 提供 实时 确认 功能 。 














13.9 总结 


本 章 介 绍 了 CAN， 它 在 汽车 领域 的 通信 标准 中 占 主 导 地 位 。CAN 是 一 个 免 
冲突 的 基于 发 送 传递 信号 优先 级 的 现场 总 线 ， 它 使 得 控制 应 用 程序 中 的 小 规模 网 
络 能 够 廉价 而 又 鲁 棒 性 实施 。CAN 通过 使 用 物理 长 度 大 约 100m 的 网 络 、 高 达 
IMbit/s 的 数据 传输 速率 以 及 最 大 携带 8 字 节 有 效 载荷 数据 的 小 型 数据 帧 来 实现 
种 种 应 用 。 

本 章 介 绍 了 CAN 协议 及 帧 标识 符 ， 该 帧 标识 符 还 表示 帧 的 优先 级 。CAN 的 
其 他 特征 包括 帧 仲裁 机 制 、 误 差 处 理 机 制 和 位 填充 机 制 。 这 些 机 制 共同 让 可 预测 
的 、 可 依赖 的 、 高 效 的 CAN 协议 适用 于 更 广 范围 的 能 入 式 系 统 。 

除了 介绍 基本 的 CAN 协议 以 外 ， 我 们 还 描述 了 在 CAN 总 线 上 调度 帧 的 其 他 
替代 方法 。 这 通常 由 基于 CAN 协议 下 的 软件 协议 来 完成 实施 。 这 些 替 代 方 法 可 
以 用 来 赋予 CAN 更 多 新 的 属性 组 合 ， 比 如 时 序 决定 机 制 以 及 应 用 程序 间 带 宽 的 
合理 分 配 。 

我 们 也 介绍 了 如 何 计算 帧 在 到 达 目 的 地 址 前 可 能 遇 到 的 延迟 的 边界 条 件 
( 即 怎样 计算 某 一 由 的 最 坏 工 况 响 应 时 间 ) 。 对 于 不 同 的 调度 方法 ， 计 算 方法 也 
不 同 ， 由 之 产生 的 响应 时 间 也 不 同 。 因 此 ， 为 了 让 CAN 适应 现 有 的 应 用 程序 ， 
选择 最 合适 的 调度 程序 是 很 重要 的 。 

本 章 描述 了 一 种 计算 针对 处 理 在 总 线 上 传输 的 帧 互相 交织 的 节点 的 长 链 的 端 
至 端 响应 时 间 的 方法 〈 比 如 读 取 传感器 、 把 传感器 数值 发 送 至 总 线 、 最 后 把 输 
出 写 到 执行 器 上 的 整个 过 程 ) 。 这 种 叫做 整体 分 析 的 方法 ， 可 以 用 来 计算 整个 分 
布 式 系统 的 响应 时 间 ， 这 样 就 确保 分 布 式 应 用 程序 满足 截止 时 间 。 

最 后 介绍 了 帧 封装 是 怎样 同 中 间 件 技术 一 起 用 于 CAN 分 布 式 汽车 应 用 程 
序 的 。 




















O 火山 造型 概念 由 火山 通信 技术 AB 公司 发 明 ， 并 由 Mentor 图 像 公司 获得 (2005.5) . 
OQ ”汽车 开放 系统 架构 (AUTOSAR), http: //www. autosar. org/. 
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第 14 章 ”主要 性 能 提升 方式 : 
使 用 偏 移 方式 调度 CAN 信息 





14.1 概述 


控制 器 区 域 网 络 (CAN) 一 直 、 也 将 最 有 可 能 在 乘 用 车 至 少 两 代 汽 车 的 发 
展 上 成 为 主要 的 网 络 。CAN 将 要 面 对 的 问题 是 : 交通 流量 的 增加 带 来 了 电子 控 
制 单元 (ECU) 之 间 交 换 的 数据 量 的 增加 。 汽 车 制造 商 必 须要 确保 每 组 帧 可 调 
度 ， 也 就 是 帧 的 响应 时 间 保 持 足 够 小 ， 来 确保 数据 的 清晰 度 在 接收 端 仍 是 可 以 接 
受 的 。 显 然 对 于 大 多 数 信息 甚至 是 周期 性 信息 ， 我 们 有 软 实时 约束 的 限制 : 偶尔 
超出 期 限 约束 不 会 有 重大 的 后 果 。 然 而 CAN 存在 的 问题 是 ， 最 坏 情 况 下 的 响应 
时 间 (WCRT) 会 随 负载 大 幅 增 加 ， 这 或 许可 以 解释 为 什么 目前 总 线 利 用 率 通常 
保持 在 较 低 水 平 (达到 30% 或 40% ) ， 以 及 为 什么 FlexRay 被 视 为 下 一 代 架 构 的 
必须 组 件 。 

调度 理论 〈 详 见 参考 文献 [1]) 告诉 我 们 ， 帧 的 WCRT 对 应 一 种 所 有 较 高 
优先 级 CAN 信息 可 以 同步 发 布 的 策略 。 为 避免 这 种 情形 ， 从 而 减 小 WCRT， 可 
以 通过 偏 移 、 减 少 WCRT 调度 的 消息 流 来 实现 。 准 确 地 说 ， 将 第 一 波 周 期 帧 流 
延迟 释放 ， 称 为 偏 移 ， 它 是 相对 于 第 一 次 准备 传输 时 的 参考 点 而 言 的 。 随 后 的 帧 
流 被 周期 性 地 发 出 ， 就 和 时 间 起 点 的 第 一 次 传输 一 样 。 传 输 偏 移 值 的 选择 对 
WCRT 有 一 定 影响 ， 且 我 们 面临 的 挑战 是 要 以 一 定 的 方式 设置 偏 移 量 使 WCRT 
最 小 化 ， 它 包括 尽 可 能 多 地 随时 间 扩 散 工 作 负 荷 。 

旨 派 偏 移 量 这 个 问题 ， 已 经 在 参考 文献 [2，3] 有 关 优 先 调度 任务 中 得 到 
解决 。 事 实证 明 ， 当 应 用 于 消息 的 调度 时 ， 这 些 解决 方案 的 效率 并 不 高 ， 因 为 汽 
车 的 消息 集 具有 一 定 的 具体 特点 (小 的 不 同 周期 )。 在 这 里 我 们 为 汽车 CAN 提 
出 一 种 算法 ， 在 对 用 NETCARBENCH 产生 的 实际 信息 集 的 实验 中 ,被 证 明 是 有 
效 的 。 然 后 ， 我 们 研究 什么 程度 的 偏 移 量 更 有 利于 可 调度 性 ， 以 及 它们 如 何 可 以 
帮助 更 好 地 应 对 更 高 网 络 负载 。 此 外 ， 本 章 对 一 些 基本 问题 进行 了 考察 : 为 什么 
偏 移 量 那么 有 效 及 可 以 进一步 改进 。 

我 们 将 在 14. 2 节 讨 论 提 出 的 分 配 偏 移 的 算法 。 在 14. 3 节 描 述 实验 装置 。 由 


367 





















































9@@@ 汽车 嵌入 式 系统 手册 


偏 移 带 来 的 响应 时 间 改 善 的 研究 将 在 14. 4 节 中 介绍 。 最 后 ， 将 在 14. 5 节 中 研究 
偏 移 到 何 种 程度 ， 才 能 够 应 付 具有 较 高 负载 的 网 络 。 


14.2 BDLS) 


选择 最 佳 偏 移 量 的 问题 已 在 参考 文献 [2] 中 表明 : 复杂 性 随 着 任务 周期 呈 
指数 增长 ， 且 没有 任何 已 知 的 可 在 实际 情况 中 使 用 的 最 优 解 决 方案 。 但是， 也 存 
在 低 复杂 度 的 探索 ， 见 参考 文献 [2、3 ] 。 在 我 们 的 实验 中 ， 即 使 这 些 算法 对 于 
任务 调度 是 有 效 的 ， 但 它们 并 不 能 很 好 地 适应 汽车 消息 调度 的 情况 ， 但 是 它 激励 
生成 一 个 新 的 偏 移 量 分 配 算法 的 设计 。 

如 果 没 有 任何 附加 协议 ， 也 就 没有 CAN 中 栈 的 全 局 同步 ， 这 就 意味 着 每 个 
栈 拥 有 自己 的 时 间 ， 并且 对 本 地 而 言 的 帧 流 是 不 同步 的 。 这 也 就 意味 着 总 是 有 可 
能 存在 两 个 不 同 栈 的 帧 流 在 同一 时 间 被 释放 ， 它 们 诱导 了 一 些 帧 流 的 延迟 。 如 果 
要 在 ECU 之 间 实 现 全 局 同步 ,那么 除了 时 钟 同步 算法 的 复杂 性 与 费事 外 ( 比如， 
详 见 参考 文献 [5] ) ECU 重新 启动 和 有 偏差 的 局 部 时 钟 处 理 也 需要 处 理 ， 以 获 
得 更 强大 的 机 能 。 比 如 ， 这 个 工作 肯定 可 以 在 用 TTCAN 获得 的 经 验 基础 上 来 建 
立 完成 ,但 是 会 附加 通信 层 中 的 复杂 性 作为 代价 。 

在 本 章 研 究 中 ， 偏 移 量 的 分 配 算法 在 每 个 栈 独 立地 执行 。 该 算法 的 基本 思想 
为 了 尽 可 能 避免 同步 释放 、 导 致 流量 高 峰 带 来 的 大 的 帧 响应 时 间 ， 将 工作 量 在 时 
间 段 内 尽 可 能 均匀 分 配 。 更 确切 地 说 ， 我 们 将 尽 可 能 分 开 调 度 传输 。 

14.2.1 设计 假说 与 记号 

该 算法 做 出 以 下 假设 ， 它 是 我 们 在 汽车 方面 经 常会 碰 到 的 情况 : 

. 只 存在 几 个 不 同 的 周期 值 (例如 ,5 ~10)， 在 这 项 研究 中 提出 的 算法 已 
经 设想 利用 这 种 属性 ， 且 它 的 效率 依赖 于 此 。 使 用 参考 文献 [2、3 ] 提出 的 算 
法 ， 可 以 更 加 有 效 地 解决 存在 许多 周期 值 这 个 情况 。 

2. 离散 时 间 具 有 一 定 粒 度 : 数据 流 的 偏 移 量 和 其 周期 是 g 的 倍数 ， 通 信任 
务 的 周期 负责 给 通信 控制 器 发 送 请 求 。 通 常情 况 下 ，g 的 值 小 于 5ms。 

定义 14.1: g 的 倍数 这 个 时 间 常 数 被 称 为 可 能 释放 时 刻 。 根 据 定义 ， 在 ie 
N+ 范 围 内 的 释放 时 刻 发 生 在 (i-1)¢, 


14.2.2 记号 























在 栈 ;， 第 下 个 帧 流 ， 记 为 凡 ， 其 特性 由 数组 (Ci, Di, Ti, 0L) 表示 : 数 
据 流 产生 的 每 一 帧 具有 一 个 最 坏 情况 下 传输 时 间 ( 它 等 于 Ci)、 相 对 的 截止 期 限 
Di ( 比如， 必须 在 该 帧 释放 后 的 10ms 内 接收 到 该 帧 ) T, 是 数据 流 f 的 传输 周 
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期 。 在 栈 i 传 输 流 的 数量 用 n' 表示 。 为 了 清楚 起 见 ， 假 定 不 存在 任何 释放 时 间 帧 
的 跳动 ， 但 可 以 对 它们 进行 分 析 考 虑 。f 在 栈 i 的 第 一 次 释放 时 刻 发 生 在 0 ， 即 
Se 的 偏 移 量 。 换 句 话 说 ，0; 是 该 栈 运行 的 第 一 瞬间 和 流 凡 传输 第 一 帧 之 间 的 持 
续 时 间 。 在 下 文中 ， 为 了 保持 尽 可 能 的 简单 符号 ， 栈 的 符号 不 会 被 显示 ， 因 为 该 
算法 是 在 每 个 栈 执行 独立 ， 而 不 考虑 其 他 栈 的 数据 流 。 


14.2.3 WCRI 分 析 的 工具 支持 


据 我 们 所 知 ， 编 写本 书 时 并 不 存在 可 用 的 科学 文献 能 在 合理 的 时 间 内 ， 对 大 
量 信息 〈 即 超过 50 条 信息 ) 计算 带 偏 移 的 响应 时 间 。 然 而 一 些 商 业 产 品 却 提 供 
此 功能 ， 这 是 汽车 制造 商 真 正 需要 的 。 在 这 项 研究 中 ， 帧 的 WCRT 是 用 软件 
NETCAR 分 析 器 来 计算 的 ， 这 个 软件 首先 由 INRIA 开发 ， 然 后 被 RealTime - at - 
Work 公司 接管 ， 该 软件 能 够 在 带 偏 移 的 CAN 上 实施 准确 而 又 快速 的 WCRT。 该 
软件 还 包括 一 组 有 专利 的 偏 移 分 配 算法 ， 并 采用 工业 使 用 过 程 中 获得 的 经 验 进行 
微调 ， 它 明显 胜 过 这 里 提出 的 算法 ， 但 因为 保密 不 能 透露 它 的 细节 。 然 而 ， 正 如 
将 要 演示 的 : 该 算法 是 有 效 的 ， 它 构成 了 可 以 根据 用 户 的 需要 进行 改进 和 扩展 的 
坚实 基础 。 例 如 ， 通 过 NETCAR 分 析 器 的 允许 ， 用 户 可 能 希望 只 针对 特定 子 集 
的 消息 、 根 据 用 户 定 义 的 成 本 函数 优化 WCRT。 图 14. 1 显示 了 NETCAR 分 析 器 
的 屏幕 截图 。 


14.2.4 算法 描述 


不 失 一 般 性 , 流 的 偏 移 值 的 选择 是 在 区 间 C0, 7, ) 上 执行 的 。 实 际 上 ， 
由 于 调度 的 周期 性 质 (更 多 详情 ， 见 参考 文献 [2])， 所 以 O, ST, 的 偏 移 量 等 
于 OT. 一 旦 初始 O, 的 偏 移 量 被 确定 ， 流 fh 后 续 的 所 有 释放 时 间 流 就 被 设 定 : 
O01, +iT,, ieN, 

随时 间 扩 散 的 交通 流 ， 每 个 数据 流 偏 移 量 的 选择 ， 使 得 它 的 第 一 帧 有 1 的 
释放 (或 发 布 ) 尽 可 能 远离 其 他 已 经 被 调度 的 帧 。 这 是 通过 : 中 识别 带 最 小 工 
作 和 负荷 的 最 长 的 间隔 ; @) 并 在 此 时 间 间 隔 中 间 设 置 轧 的 偏 移 量 来 实现 的 。 

14.2.4.1 数据 结构 

因为 对 于 每 一 个 数据 流 f;， 它 的 偏 移 量 是 在 区 间 (0, T] 内 选择 ， 我 们 选择 基 
于 时 间 区 间 (0, Tha] 上 进行 的 分 析 ， 来 分 配 偏 移 ， 其 中 ,= max {T} o 


1<kSn 
在 (0, Trax] 区 间 内 ， 帧 的 释放 时 间 被 存储 在 列 阵 R P, RA Ts/g 个 元 
素 ， 其 中 第 i 个 单元 R [i] 是 在 可 能 释放 时 刻 i [也 就 是 在 (i-1) g 时 刻 ] 释 
放 的 帧 的 集合 。 表 14. 1 为 帧 流 释放 列 阵 R， 它 对 应 于 交通 流 的 集合 T= |f, 
hhl, HPA = (T=10, 0, =4), p = (20, 8), f = (20, 18) 







































































369 


coe 汽车 嵌入 式 系统 手册 





(Tes -2 ) ’ 同时 粒度 g =), 
对 于 一 个 给 定 的 帧 流 /;， 区 间 是 一 组 邻近 的 可 能 释放 时 刻 的 集合 。 
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Al 14.1 NETCAR 分 析 需 运行 时 的 屏幕 截图 。 左 侧 图 形 是 针对 不 同 偏 移 值 设置 得 到 的 响应 
时 间 (通过 降低 优先 级 ) 。 背 景 中 的 电子 表格 包含 ; 帧 的 集合 、 测 试 的 不 同 偏 移 设 置 、 
对 应 的 WCRT 和 确定 的 ECU 特性 ， 比 如 微 控制 器 层面 的 排队 策略 ( 比如 FIFO 或 按 优先 级 ) 。 


表 14.1 帧 流 发 布 列 阵 R 对 应 于 交通 流 的 集合 T= [fis h, 户 }， 其 中 廊 = 
(T, =10, O, =4), f= (20, 8), = (20，18) ， 其 分 布 间隔 为 [0，20] 





时 间 0 2 4 6 8 10 12 14 16 18 
可 能 的 发 布 时 刻 i 1 2 3 4 5 6 7 8 9 10 
Ril AAPM MNES ) fia ha fia faa 








粒度 g 等 于 2，R Li] 的 第 i 个 元 素 是 在 可 能 的 发 布 时 刻 i 发 布 的 帧 的 集合 。 比 如 , R [3] = fiak 


定义 14.2: 对 于 一 个 流 f 和 时 间 常 量 g， 可 能 的 发 布 时 刻 i 和 六 是 邻近 的 ， 


“AIM: 
(imoa 5) = [mod 7) | zi 
& & 


在 上 述 公式 中 ， 取 模 算 子 告诉 我 们 设置 流 甩 在 可 能 发 布 时 刻 i 的 偏 移 量 等 从 








第 14 mt 主要 性 能 提升 方式 : 使 用 偏 移 方式 调度 CAN 信息 @@@ 


于 选择 可 能 发 布 时 刻 i+uTi/g (zeN )。 表 14.2 显示 了 有 的 这 种 定义 ， 其 中 周 
期 Ti =10， 时 间 常 量 g=2。 

这 样 导致 了 时 间 间 隔 的 定义 。 

定义 14.3: 对 于 流 h， 区 间 间 隔 是 一 组 有 序 的 可 能 发 布 时 刻 ， 其 中 第 i 和 第 
i+] 个 元 素 是 邻近 的 。 这 个 区 间 的 长 度 就 是 有 序 集合 中 的 单元 数 。 

Bilan, XR REA (WL 14.2), 集合 14，5，1，2} 是 邻近 可 能 发 布 时 刻 的 
区 间 。 在 这 里 提 到 的 算法 中 ,我 们 只 考虑 到 了 在 相同 负载 下 可 能 发 布 时 刻 的 
区 间 。 


























表 14.2 邻近 的 可 能 发 布 时 刻 〈 在 流 广 中， 周期 等 于 10) 





时 间 0 2 4 6 8 
可 能 的 发 布 时 刻 i 1 2 3 4 5 
与 i 邻近 的 可 能 发 布 时 刻 {5, 2} 1133 {2, 4} 13. 51 14, 1} 





比如 ， 可 能 的 发 布 时 刻 4 与 1 和 5 邻近 . 


定义 14.4: 可 能 发 布 时 刻 ;的 负载 是 在 ;时 刻 【[ 即 在 时 钟 为 (i -1) g 时 
刻 ] 对 传输 调度 的 发 布 数 。 

比如 ， 在 表 14. 1 的 案例 中 ， 可 能 发 布 时 刻 3 的 负载 是 1。 我 们 用 六 表示 
(0, 7] 间隔 内 的 最 小 负载 ， 最 小 负载 间隔 仪 仅 组 成 了 负载 为 太 的 可 能 发 布 时 
刻 。 例 如 ,在 表 14.1 中 ,等 于 0， 且 间隔 110，12} 属于 最 小 负载 间隔 [0， 
20]. 

14.2.4.2 算法 描述 

我 们 假定 流量 通过 增加 周期 值 来 分 类 ， 也 就 是 说 ,，k <h 意味 着 T, < Tro X 
种 算法 循环 设置 流 (从 到/,) 的 偏 移 值 。 让 我 们 考虑 分 析 中 的 流 为 f。 

为 有 设置 偏 移 值 ， 比 如 使 它 的 第 一 次 发 布 f 1 与 有 1 发 布 前 后 之 间 的 间隔 最 
大 化 。 具 体 来 说 : 

(a) 在 区 间 (0, 7,] 中 找到 六。 

(b) 在 区 间 £0, 7] 中 找到 最 长 的 最 小 负载 区 间 ， 其 中 约束 可 以 任意 中 
断 。 区 间 中 第 一 个 可 能 的 发 布 时 间 标 记 为 Bi。 

(c) 在 选 定 区 间 的 中 间 设 置 偏 移 量 0;， 它 对 应 的 可 能 发 布 时 间 是 六。 

(d) EARNER, FEKE (0, Thal 中 发 布 的 的 帧 : 

了 


+ Ty max 
V,eN 并 有 7 +i < 
8 8 





SpF T, T, 
afi R(n si H) erfa ti H Ufi 
g g 


实际 中 直接 在 O(n + max, |T,}/g) PEHR, BAKE Bt Aa 
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生 问题 。 

14.2.4.3 算法 的 应 用 

在 我 们 考虑 的 案例 中 ,，r = 1, 有 ,fp 其 中 A=(m =10,0, =4), fh = (20, 
8) , 户 =(20,18) ， 同 时 时 间 常 数 g =2。 首 先 ， 算 法 决定 广 的 偏 移 : 1, =0 [RR 
1 中 (a)], B,=1, FE, =5 [ 步 又 1 中 (b)]， 因 此 m =3 [步骤 1 中 (c)]， 这 
就 意味 着 流 的 偏 移 量 是 4。 然 后 更 新 列 阵 R: R [3] = iff, 1}, R [8] = 
Ifi, 2} [步骤 1 中 (d) ] 。 对 于 流亡 ,2 =0， 选 择 的 区 间 是 14, 5, 6, 7}, IE 
时 B,=4, F,=7, 72=5, R [5] = | 有,，1|。 对 于 流 ，l3=0， 选 择 的 区 间 是 
19, 10, 1, 2} ,此 时 B} =9, FE, =2, r,=10, R [10] = |}, 1}. MABE 
得 到 的 结果 见 表 14. 1 。 

















14.3 ”实验 设置 


为 了 得 到 有 关 使 用 偏 移 真实 好 处 的 准确 想法 ， 我 们 试图 在 实际 CAN 中 来 进 
行 试验 。 但 是 ， 由 于 保密 的 原因 ， 已 经 发 表 的 关于 基准 测试 的 文献 很 少 。 据 我 们 
所 知 ， 仅 有 的 两 个 公开 可 用 的 基准 是 SAEL5] 和 PSA 基准 [7] 。 这 两 个 基准 在 文献 
中 已 经 提 到 过 几 次 ， 但 它们 显然 没有 更 现实 地 考虑 到 目前 的 车 载 网 络 (参见 文 
献 [8])。 

要 克服 这 些 阻 止 我 们 公开 真实 的 信息 内 容 的 保密 问题 ， 我 们 开发 了 NET- 
CARBENCH"! ， 该 软件 根据 用 户 定义 的 参数 (网 络 负 载 ，ECU 的 号 码 ， 分 布 由 
的 期 间 等 ) 产生 多 组 汽车 信息 。NETCARBENCH 红 在 改进 评估 、 提 高 理解 性 和 
算法 的 可 比 性 ， 以 及 车 载 通信 网 络 设计 中 使 用 的 工具 。 为 了 促进 推广 ，NET- 
CARBENCH 在 GPL 许可 下 发 布 , 并 且 可 以 在 以 下 网 址 ， http: // 
www. netcarbench. org 下 载 。 

我 们 在 今天 的 汽车 上 主要 发 现 以 下 三 类 CAN: 动力 总 成 、 车 身 和 底盘 。 接 
下 来 ,我 们 将 考虑 车 身 和 底盘 中 表现 相当 明显 的 网 络 的 特点 。 在 实验 中 ， 除 特殊 
说 明 外 ， 随 机 产生 的 网 络 平均 负载 等 于 35% (围绕 均值 上 有 有 3% 的 变化 区 间 )， 其 
特性 见 表 14.3。 帧 中 的 数据 负载 是 均匀 分 布 ， 介 于 1 ~8 字 节 之 间 。 存 在 两 种 类 
型 的 实验 : 有 些 会 专注 于 一 个 特定 的 网 络 ， 而 其 他 人 将 涉及 收集 大 量 网 络 上 的 数 
He (例如 下 面 的 1000)。 对 于 前 一 种 类 型 的 实验 ， 在 整个 实验 过 程 中 ， 采 用 相同 
的 车 身 网 络 和 相同 的 底盘 网 络 。 

在 实际 中 ， 通 常 的 情况 是 ， 单 一 的 栈 会 产生 相当 大 一 部 分 的 全 局 网 络 负载 。 
例如 ， 在 车 身 网 络 中 ， 通 党 存在 一 个 栈 来 当做 其 他 的 网 络 网 关 ， 用 它 来 负责 总 负 
载 的 较 多 部 分 。 我 们 模拟 单一 的 栈 生 成 约 30% 的 总 负载 。 在 下 面 ， 将 会 明确 提 
到 何 时 使 用 “负载 集中 ”的 配置 。 
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表 14.3 实验 中 考虑 的 网 络 配 置 























网 络 #ECU # 信 息 (标准 差 ) 带宽 / (kbit/s) 帧 周期 
车 身 15 ~20 71 (8.5) 125 50ms ~ 2s 
底盘 5~15 58.5 (7.7) 500 10ms ~ 1s 











对 于 车 身 和 底盘 两 种 网 络 来 说 ， 它 们 的 平均 负载 是 35% ， 且 数据 负载 的 大 小 在 1 ~8 之 间 随 机 取 值 
(均匀 分 布 定律 ) 。 对 于 车 身 网 络 来 说 ， 其 周期 在 集合 150, 100, 200, 500, 1000, 2000} 中 均匀 选取 ， 
而 对 底盘 网 络 来 说 ， 其 周期 在 集合 (10, 20, 50, 100, 200, 1000} 中 均匀 选取 。 
































14.4 WCRT 上 使 用 偏 移 的 优势 


我 们 首先 在 14. 4. 1 节 中 评估 使 用 偏 移 取 得 的 性 能 ， 然 后 在 14.4.2 节 中 ， 我 
们 提供 原理 来 解释 使 用 偏 移 的 有 效 性 。 


14.4.1 有 无 偏 移 的 WCRT 比较 


偏 移 量 的 主要 好 处 是 减少 了 低 优 先 级 信息 的 WCRT。 图 14.2 显示 了 在 有 与 
没有 偏 移 的 情况 下 典型 CAN 车 身 的 帧 的 WCRT。 我 们 测试 两 种 偏 移 方案 : 在 
14. 2 节 中 介绍 的 算法 和 纯粹 随机 的 分 配方 案 。 对 于 后 者 方案 ,图 14. 2 中 显示 的 
结果 平均 值 超过 100 的 随机 分 配 。 此 图 同时 也 表示 了 NETCAR 分 析 器 提供 的 
WCRT 的 下 限 。 在 实践 中 没有 必要 达到 这 样 的 下 限 ， 但 在 告诉 我 们 配置 偏 移 是 如 
何 好 方面 是 有 价值 的 。 正 如 我 们 所 看 到 的 ， 由 于 可 能 的 获得 将 使 所 有 帧 的 WCRT 
得 到 改善 。 随 着 优先 级 的 降低 ， 这 种 改善 变 得 越 来 越 显 著 。 在 这 个 案例 中 ， 对 于 
优先 级 最 低 的 帧 来 说 ， 有 偏 移 量 的 WCRT 的 时 间 降 低 了 43. 2ms (从 64. 8ms 降低 
到 21.6ms)。 这 种 效果 是 非常 巨大 的 。 

在 接 下 来 的 实验 中 ,我 们 评估 了 超过 1000 组 随机 信息 的 偏 移 调度 的 性 能 。 
性 能 度量 是 使 用 14. 2 节 中 算法 偏 移 后 降低 了 WCRT 的 比率 。 我 们 考虑 车 身 网 络 
和 底盘 网 络 ， 有 无 集中 负载 ， 也 就 是 说 ， 一 个 栈 比 其 他 栈 承 担 了 更 多 的 负载 ， 它 
占据 了 总 网 络 负载 的 30% 。 图 14. 3 显示 了 没有 集中 负载 时 优先 级 较 低 的 帧 上 的 
WCRT 的 降低 率 ， 而 图 14. 4 显示 了 有 集中 负载 时 的 情况 。 

无 论 哪 种 实验 条 件 ， 除 了 已 经 考虑 的 4000 组 信息 中 的 一 些 例外 ,产生 的 变 
化 都 是 显著 的 。 这 说 明 实 际 中 的 偏 移 量 将 会 是 很 有 效 的 。 可 以 观察 到 ， 对 于 底盘 
网 络 来 说 ， 其 效果 更 加 重要 。 这 个 解释 是 基于 底盘 网 络 组 成 的 栈 少 于 车 身 网 络 的 
情况 ， 这 样 流 之 间 的 去 同步 化 对 栈 来 说 就 是 局 部 的 ， 也 会 更 加 有 效 。 当 单独 一 个 
ECU 产生 较 大 一 部 分 负载 (也 就 是 负载 集中 ) 时 ， 其 结果 类 似 于 负载 均匀 分 配 
于 栈 的 情况 ， 而 直观 地 来 说 ， 它 也 会 更 好 一 些 。 正 如 图 14. 2 所 示 ， 在 此 种 负荷 
等 级 下 ， 整 形 算法 的 性 能 接近 最 优 ， 这 可 以 解释 为 什么 观察 不 到 有 差异 。 
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一 一 没有 偏 移 的 WCRT 
带 随 机 偏 移 (平均 值 ) 的 WCRT 
60 带 偏 移 的 WCRT( 算 法 见 14.2 节 ) 
… WCRT 的 下 限 





50 


40 


WCRT/ms 


30 











按照 降低 的 优先 级 次 序 来 分 类 的 CAN 帧 


图 14.2 ”针对 网 络 负荷 为 37.6% 、 包 含 68 条 信息 的 通常 速率 为 12kbit/s 的 车 身 网 络 ， 有 和 
没有 偏 移 时 CAN 帧 的 WCRT 图 线 。 最 上 面 的 曲线 是 无 偏 移 作 用 的 WCRT 曲线 ， 中 间 的 是 在 
100 个 随机 偏 移 的 作用 下 的 平均 WCRT 值 曲 线 ， 再 下 面 是 用 第 14. 2 节 算 法 计算 出 的 WCRT HH 
线 。 最后， 最 下 面 的 是 WCRT 的 下 边界 曲线 。 在 尾 端 无 偏 移 时 WCRT 陡然 增加 可 解释 为 一 些 更 高 
优先 级 的 帧 具有 等 于 50 的 周期 ， 且 这 些 帧 的 两 种 情况 使 超过 50ms WORT 的 最 低 优先 级 帧 遭遇 延迟 。 




















































































































14.4.2 成 效 的 解释 : 网 络 负载 分 布 更 合理 


传输 等 待 ( 或 积压 ) 的 总 工作 量 的 演变 过 程 无 论 有 无 偏 移 ， 都 在 1s (这 里 
是 0.5cm 值 ) 内 测量 。 更 准确 地 说 ， 当 有 偏 移 时 ， 我 们 认为 它 导致 了 最 低 优先 
级 帧 WCRT 的 产生 。 寿 没有 偏 移 ， 测 量 的 工作 量 则 是 对 应 同步 情况 而 言 ， 也 就 
是 说 ， 在 这 个 背景 下 的 所 有 帧 的 最 坏 工 况 。 针 对 典型 的 车 刁 网 络 的 两 种 工作 负 答 
均 画 在 图 14.5 中 。 我 们 会 立即 注意 到 ， 有 偏 移 时 工作 负 奏 的 峰值 更 低 ， 这 为 在 
14. 4. 1 市 中 观察 到 的 成 效 提供 了 一 个 清晰 的 解释 。 事 实 上 ， 等 待 传输 的 负荷 直 
接 转 化 为 最 低 优先 级 帧 的 响应 时 间 。 

在 图 14.5 中 ， 有 偏 移 时 工作 负 葵 分 布 更 平坦 ， 这 一 事实 会 导致 我 们 认为 有 
偏 移 时 工作 负 蓓 更 少 ,但 实际 上 这 没有 道理 。 图 14.6 纠正 了 这 种 感觉 ,并 显示 
了 随 着 时 间 的 推移 、 与 图 14.5 同一 网 络 在 有 无 偏 移 的 情况 下 ， 累 积 工 作 到 达 据 
数 的 演变 。 有 偏 黎 时 工作 到 达 胃 数 的 形状 比 无 偏 移 时 更 光滑 、 更 贴近 直线 ， 而 无 
偏 移 时 函数 的 “台阶 ” 较 大 。 此 图 说 明 14. 2 节 中 的 算法 表现 更 好 ， 也 为 我 们 提 
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供 了 可 实现 的 对 剩余 部 分 改良 的 洞察 力 ， 让 我 们 知道 考虑 负荷 分 布 的 最 优 解 一 一 
但 这 不 总 是 可 行 的 ， 因 为 会 有 流 特性 一 一 可 能 是 一 条 直线 。 
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图 14.3 当 有 偏 移 时 最 低 优先 级 帧 的 WCRT 的 减少 比率 。 这 一 分 布 分 别 通过 1000 个 随机 的 
车 身 网 络 样本 ( 左 图 ) 和 底盘 网 络 样 本 ( 右 图 ) 计算 获得 。 网 络 负 和 荷 在 ECU 上 是 
匀 分 布 〈 即 没有 集中 区 域 ) x 轴 表 示 WCRT 的 减少 比率 (BRKE: 0.2), y 轴 是 获得 成 效 
等 级 的 网 络 占 总 数 的 百分比 。 
a) 车 身 网 络 ， 没 有 负载 集中 b) 底盘 网 络 ， 没 有 负载 集中 
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图 14.4 ” 当 有 偏 移 时 最 低 优先 级 帧 的 WCRT 的 减少 比率 。 除 了 一 个 栈 点 单独 产生 了 平均 30% 
的 总 网 络 负荷 〈 即 存在 负荷 集中 ) 外 ， 其 余 设 定 与 图 14. 3 相同 。x 轴 
表示 WORT 的 减少 比率 (每 格 长 度 : 0.2), y 轴 是 获得 成 效 等 级 的 网 络 占 总 数 的 百分比 。 
a) 车 身 网 络 ， 有 负载 集中 b) 底盘 网 络 ， 有 负载 集中 











值得 一 提 的 是 ， 有 偶 移 更 好 的 负荷 分 布 对 减少 CPU 负荷 峰 值 非常 有 利 ， 因 
为 ECU 将 不 必 产 生 、 传 输 和 接收 帧 脉冲 。 事 实 上 ， 这 是 为 什么 偏 移 有 时 已 经 在 
生产 车 辆 中 实施 的 一 个 主要 原因 。 
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14.6 有 无 偏 移 时 累积 网 络 负荷 (表示 为 传输 时 间 ) 在 1s 内 的 对 比 


14. 4.3 ”部 分 偏 移 的 应 用 


到 目前 为 止 ， 我 们 都 假设 篇 移 策略 可 以 应 用 于 所 有 负载 栈 点 。 实 际 上 ，CAN 
上 的 负荷 一 般 在 栈 间 不 是 均匀 分 布 的 ， 常 见 的 情况 是 网 络 中 单个 栈 点 或 一 对 栈 点 
产生 了 总 负载 中 的 很 大 部 分 。 在 这 种 情况 下 ， 当 仅 在 这 个 或 这 些 创 造 绝 大 部 分 总 
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一 一 没有 偏 移 的 WCRT 
最 大 负载 栈 点 带 偏 移 的 WCRT : | : 
在 四 个 较 大 负载 栈 点 带 偏 移 的 WCRT | 一 
… 所 有 栈 点 带 偏 移 的 WCRT 














WCRT/ms 








0 10 20 30 40 50 60 
按照 降低 的 优先 级 次 序 来 分 类 的 CAN 帧 





图 14.7 车 身 网 络 带 负 荷 集中 的 WCRT 比较 : DIAS (顶部 曲线 ); 
@ 仅 在 负载 栈 点 有 偏 移 (中 间 曲 线 ); @ 在 4 个 较 大 负载 栈 点 有 偏 移 (从 
上 往 下 数 第 三 条 曲线 ) ; @ 在 所 有 栈 点 有 偏 移 (底部 曲线 )。 















































线 负 载 的 栈 点 上 产生 偏 移 时 ， 可 以 产生 很 大 的 改善 。 这 也 使 汽车 制造 商 不 需 改变 
更 多 内 容 。 

为 了 在 这 种 情况 下 了 解 偏 移 能 带 来 些 什 么 ,我们 构建 一 个 在 单个 栈 点 上 集中 
30% 负荷 的 网 络 〈 即 负荷 集中 情形 ) B 14.7 展示 了 通过 低 优先 级 帧 的 WCRT， 
我 们 发 现在 几 个 栈 上 施加 偏 移 非 常 有 利 。 考 虑 到 无 偏 移 时 的 情况 ， 在 一 个 栈 点 施 
加 偏 移 时 最 低 优先 级 的 帧 的 WCRT 降低 了 34.5% ， 在 四 个 栈 点 上 施加 偏 移 时 ， 
WCRT 则 降低 了 48% 。 


14.5 ” 偏 移 可 允许 更 高 的 网 络 负 和 荷 


关于 这 一 点 ， 在 网 络 上 施加 对 应 于 如 今 汽车 CAN 中 常见 的 负荷 ， 人 们 进行 
了 许多 实验 。 针 对 网 络 负 茶会 增加 的 不 远 的 将 来 ， 我 们 建议 评 佑 偏 移 产 生 的 利 
益 。 我 们 在 两 个 方向 模拟 负荷 增加 : 一 是 向 现 有 栈 点 分 配 新 信息 ， 二 是 把 新 的 信 
息 分 配 到 新 栈 点 。 处 理 步骤 如 下 : 

。 HREH load, 来 定义 一 个 随机 网 络 ren 。 本 实验 中 ， 随 机 抽取 的 车 身 
网 络 的 负荷 为 37.6。 
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© 定义 一 个 新 的 负荷 等 级 load，( 例 如 40% ) 。 对 应 于 load, 和 load, 之 间 的 
负荷 差 ， 定 义 一 个 随机 的 帧 集合 。 新 定义 的 帧 集合 用 $, ,表示 。 

。 我 们 使 用 两 种 方法 来 分 配 $5, 中 的 帧 : 

-向 net, 中 现 有 栈 点 直接 派 遗 8$，， 新 产生 的 网 络 叫做 nete ; 

-向 新 栈 点 派 遗 5,,, 中 帧 的 集合 (每 栈 不 超过 5 帧 ) ， 并 添加 至 net, 中 ， 产 
生 的 网 络 叫做 nerh 。 

。 用 14.2 节 中 的 算法 确定 偏 移 ， 并 计算 nehe 和 neg 的 WCRT。 

遵循 以 上 过 程 ， 可 以 使 我 们 比较 识别 两 种 情况 下 的 WCRT 增加 量 。 图 14. 8 
所 示 为 网 络 负荷 在 40% ~60% 范围 内 最 低 优先 级 帧 的 WCRT 的 演变 过 程 。 


60 T T T T T 
没有 偏 移 的 WCRT-- 负 载 增加 的 两 种 案例 
































BE 埋 偏 移 的 WCRT 一 在 新 栈 点 上 负载 增加 4 
mm h(i y VCRT 一 在 现存 栈 点 上 负载 增加 
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40 45 50 55 60 
CAN 网 络 负载 (%) 
图 14.8 网 络 负荷 在 40% ~60% 范围 内 最 低 优先 级 帧 的 WCRT: 无 偏 移 (白色 ); 
@@ 有 偏 移 且 和 额外 负荷 分 配给 新 栈 点 (灰色 ); @ 有 偏 移 且 额 外 负荷 分 配给 现 有 栈 点 〈 黑 色 ) 。 
额外 负荷 指 加 到 随机 选择 网 络 上 的 最 初 负荷 等 于 37. 6% 的 网 络 负荷 。 
这 里 显示 的 结果 是 从 单个 的 典型 车 身 网 络 中 获得 的 。 













































































我 们 可 以 观察 到 的 就 是 : 偏 移 带 来 的 效果 都 非常 大 ， 其 至 在 负荷 增加 时 。 例 
如 ， 负 荷 为 60% 时 ， 若 额外 负荷 分 配给 现 有 栈 点 ， 则 偏 移 的 增益 因子 为 2.8; 若 
分 配给 新 栈 点 ， 增 益 因子 为 2. 1。 

再 者 ,实验 表明 负荷 为 60% 有 偏 移 时 ， 最 低 优先 级 帧 的 WERT 与 负荷 为 
30% 无 偏 移 时 的 WCRT 大 体 相似 。 换 言 之 ,负荷 为 60% 有 偏 移 时 的 性 能 等 价 于 
负荷 为 30% 无 偏 移 时 的 性 能 。 尽 管 这 点 并 没有 在 图 14.8 中 显现 ， 但 这 一 结论 对 
所 有 帧 都 成 立 ， 且 不 管 它们 优先 级 如 何 〈 除 了 增益 较 少 的 最 高 优先 级 ) 。 
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最 后 值得 注意 的 是 ， 新 的 负 答 分 配 到 现 有 栈 点 还 是 新 栈 点 ， 二 者 之 间 是 有 差 
异 的 。 后 者 的 情况 ， 偏 移 一 般 是 逻辑 上 的 、 效 率 较 低 ， 这 是 因为 它 缺 乏 全 局 时 间 
参考 ， 而 这 意味 着 每 个 栈 的 偏 移 是 局 部 的 。 





14.6 结论 


本 章 人 研究 有 两 个 页 献 。 第 一 ， 我 们 针对 确定 偏 移 提出 了 低 复杂 度 的 算法 ， 对 
于 一 般 汽 车 网 络 ( 车身、 底盘 网 络 ) 具有 优良 性 能 。 据 我 们 所 知 ， 这 种 算法 在 
该 类 文献 中 开创 了 先河 ， 它 为 进一步 改善 和 优化 打下 了 坚实 的 基础 。 例 如 ， 在 一 
个 特定 的 设计 过 程 中 ， 甚 至 是 车 辆 工程 中 ， 特 定 的 约束 都 可 以 考虑 进来 。 

其 次 ， 我 们 了 解 到 偶 移 的 应 用 能 对 大 范围 网 络 配置 产生 非常 重大 的 影响 。 我 
们 相信 使 用 侦 移 是 一 项 鲁 棒 性 技术 ， 它 能 在 短期 内 为 不 断 增加 的 网 络 负荷 提供 解 
决 方法 ， 并 且 因此 作为 下 一 代 和 车辆 的 主要 网 络 而 允许 CAN 的 应 用 ， 至 少 可 以 用 
在 与 安全 性 核心 功能 无 关 的 部 分 。 

偏 移 施加 约束 于 帧 的 发 布 时 间 ， 它 可 以 被 看 做 是 事件 触发 的 通信 和 时 间 触 发 
的 通信 之 间 的 折 中 。 实 验 表 明 ， 通 过 栈 点 之 间 的 同步 机 制 可 以 实现 更 高 的 效益 ， 
而 这 又 在 通信 上 施加 了 额外 约束 ， 并 会 在 CAN 上 建立 一 个 轻 量化 的 事件 触发 的 
解决 方案 。 可 以 鲁 棱 的 方式 ( 即 快速 恢复 ECU 重新 启动 、 本 地 时 钟 漂 离 ， 等 
等 ) 实施 到 的 程度 ， 是 我 们 正在 进行 的 工作 主题 。 
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BAST 汽车 域 的 形式 化 方法 : 
TTA (时 间 触 发 染 构 ) 概况 





15.1 简介 


时 间 触 发 架构 (TTA) 1- 引 是 一 个 用 来 实现 高 度 可 靠 实时 系统 的 分 布 式 的 计 
算 机 架构 。 特 别 是 它 以 租 入 式 控制 应 用 为 目标 ， 如 在 汽车 、 航 空 航天 工业 的 线 控 
系统 。 对 于 那些 安全 要 求 高 的 系统 来 说 ， 容 错 能 力 是 至 关 重 要 的 。 时 间 触 发 协议 
(TTPAC) 构成 TTA 通信 层 的 核心 。 它 提供 了 许多 重要 的 功能 ， 如 原子 广播 ( 协 
议 )、 一 致 性 关系 和 对 故障 节点 的 包含 ， 它 们 加 快 了 这 些 容错 类 型 实时 应 用 的 
发 展 。 

形式 化 分 析 可 以 对 系统 正确 行为 提供 附加 的 信心 保证 ， 这 在 安全 性 要 求 较 高 
的 环境 中 至 关 重要 。 建 立 在 TTA 基础 上 应 用 程序 的 实施 、TTA 本 身 的 容错 性 能 
以 及 它 的 底层 通信 协议 都 很 有 价值 。 因 此 ,已 经 对 TTPZC 的 几 个 方面 进行 了 形 
式 化 建 模 和 分 析 ， 内 容 包 括 时 钟 同步 、 诊 断 服务 G's 、 启 动 程序 " ~? 和 中 央 
监护 的 容错 性 能 Mm 中， 并 应 用 了 基于 互动 定理 证 明 的 演绎 法 和 不 同类 型 的 模型 检 
测 方法 。TTPZC 的 算法 对 形式 化 分 析 提 出 了 新 的 挑战 。 本 章 描述 了 TTPAC 的 中 
央 机 制 和 它们 的 预期 容错 性 能 ， 并 强调 了 对 于 建 模 和 验证 需要 解决 的 重要 问题 和 
对 它们 的 解决 方案 。 


15.2 感 兴 趣 的 话题 





























在 TTA 系统 中 ,一 组 “节点 ”通过 实时 通信 系统 互联 。 一 个 节点 由 运行 应 
用 软件 和 通信 控制 带 的 主机 组 成 ， 从 而 实现 在 不 同 的 节点 之 间 的 时 间 触 发 通信 。 
节点 之 间 通 过 复制 的 共享 媒体 在 通信 “通道 ”之 间 实 现 沟 通 。TTA 有 两 种 常见 
的 物理 互联 的 拓扑 结构 。 最 初 ， 通 道 被 连接 到 复制 的 无 源 总 线 ， 而 在 更 近 的 星 形 
拓扑 结构 中 ， 节 点 被 连接 到 复制 中 心 的 星 形 耦 合 器 上 ， 它 可 以 被 用 于 两 个 通信 信 
道 的 任意 一 个 。 然 而 ， 实 际 网 络 的 拓扑 结构 是 透明 的 ， 且 显示 为 一 个 到 节点 的 
CEH) 总 线 。 
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时 间 和 触发 系统 的 显著 特点 是 ， 所 有 系统 的 活动 由 时 间 的 推移 来 触发 "05] 。 自 
主 TTA 通信 系统 周期 性 地 执行 一 个 时 分 多 址 (TDMA) 的 调度 。 因 此 通信 介质 的 
访问 被 划分 成 一 系列 间隔 ， 称 为 “时 槽 ” 。 每 个 下 点 独自 拥有 一 定 的 时 档 ， 在 这 
里 它 可 以 通过 通信 网 络 发 送信 息 。 定 期 信息 发 送 操作 的 时 间 ， 也 就 是 理所当然 地 
在 系统 在 设计 时 被 确定 。 发 送 和 接收 时 刻 都 包含 在 一 个 信息 的 调度 表 中 ， 即 所 谓 
的 信息 描述 符 列表 。 此 调度 表 是 静态 的 ， 并 被 存储 在 每 个 通信 控制 嚣 中。 因此， 
它 给 所 有 节点 提供 信息 时 间 的 常用 知识 。 

本 节 将 详细 描述 底层 通信 协议 的 中 心 内 容 ， 即 其 容错 同步 、 诊 断 和 故障 屏蔽 
算法 和 组 件 。 


15.2.1 中 心 守 护 者 的 故障 屏蔽 功能 


TTA 系统 专 为 关键 安全 应 用 设计 ， 因 此 必须 具有 足够 的 容错 能 力 。 基 于 给 定 
的 “故障 假设 ”给 出 的 故障 容错 ， 是 指 一 组 假设 的 故障 的 类 型 、 数 量 和 频率 。 
在 TTPZC 中 实施 的 核心 算法 中 ， 如 组 成 员 和 时 钟 同 步 ， 只 能 够 容纳 显示 它们 作 
为 一 些 节 点 接收 故障 或 一 致 性 发 送 故 障 '*] ， 且 它们 依赖 于 作为 一 致 性 的 传输 故 
障 。 也 就 是 说 ,信息 必须 通过 没有 错误 的 节点 或 不 通过 节点 后 才能 被 正确 接收 。 
特别 地 ，TTPZC 通信 的 以 下 三 个 正确 性 能 是 必须 满足 的 : 

。 ARGH: 如 果 正 确 的 节点 发 送 正确 的 信息 ， 那 么 所 有 正确 接收 需 接 收 
信息 。 

。 协定 : 如 果 任 何 正 确 的 节点 接收 信息 ， 那么 所 有 正确 的 接收 器 也 接收 。 

。 真实 性 : 一 个 正确 的 节点 只 接收 给 定时 槽 调度 节点 发 送 的 信息 。 

例如 为 了 满足 有 效 期 性 能 ， 故 障 节点 不 能 发 出 超出 它们 分 配 时 模 以 外 的 信 
息 。 为 了 防止 这 样 的 时 序 故 障 ， 特 殊 的 硬件 组 件 ， 所 谓 的 守护 者 被 引入 3] 。 守 
护 者 是 一 个 自动 化 装置 ， 通 过 监督 它们 的 输出 来 保护 共享 的 通信 网 络 免 受 节 点 的 
故障 行为 的 影响 。 通 信 网 络 的 原来 总 线 拓扑 结构 采用 本 地 总 线 守 护 者 ， 它 被 放置 
在 节点 和 总 线 之 间 。 然 而 ， 故 障 注 入 实验 表明 ， 在 航空 航天 和 汽车 行业 ， 为 了 实 
现 更 加 苛 刻 的 容错 要 求 ， 更 加 复杂 的 守护 者 是 必要 的 。 在 最 近 的 星 形 拓扑 结构 
中 ， 中 央 和 守护 者 用 在 了 每 个 星 的 集 线 需 中 。 

通过 采用 连接 节点 的 有 关 知 识 ， 守 护 者 可 以 判断 一 个 节点 发 送 的 信息 是 否 有 
效 ， 是否 可 以 把 信息 传递 到 它们 的 信道 上 的 其 他 节点 ,或 是 否 有 被 阻塞 的 。 例 
如 ， 守 护 者 监控 节点 的 瞬时 行为 。 由 于 一 个 给 定 的 节点 被 允许 访问 的 通信 信道 的 
时 间 间 隔 是 静态 确定 的 ， 所 以 守护 者 可 以 控制 信息 传输 的 正确 时 序 ， 并 禁止 一 个 
错误 节点 发 送信 息 到 其 指定 的 时 隙 之 外 。 因 此 ， 节 点 的 时 序 故 障 会 被 有 效 地 转化 
为 发 送 故 障 。 

此 外 守护 者 也 可 以 防止 一 类 特 丈 的 Byzantine 故 障 ， 即 所 谓 的 稍微 偏离 规 
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范 (SOS) 的 故障 。 如 果 一 个 组 件 展示 了 轻微 的 故障 特性 且 看 起 来 对 一 些 组 件 是 
正确 的 ， 但 对 其 他 组 件 来 说 是 故障 的 ， 带 来 违反 上 述 协 定 属性 ， 因 此 这 个 组 件 被 
称 为 SOS 故障 的 组 件 。 如 果 一 个 节点 在 非常 接近 其 调度 的 传输 间隔 末尾 终止 传 
输 ， 那 么 稍微 偏离 规范 的 时 序 故 障 可 能 发 生 ; 因此 ， 一些 接 收 器 可 能 接收 信息 ， 
而 其 他 接收 器 可 能 会 认为 这 不 合 时 宜 而 在 信息 完成 传输 前 关闭 接收 窗口 。 因 为 一 
个 特定 传输 的 持续 时 间 是 事先 知晓 的 ， 所 以 守护 者 就 可 以 防止 这 样 的 截止 情况 出 
现 。 节 点 必须 在 预定 义 的 时 覃 开始 一 段 时 间 后 开始 传输 ， 否 则 守护 者 将 终止 它 访 
问 通信 网 络 的 权利 。 因 此 ， 和 守护 者 可 以 有 效 地 防止 切断 SOS 故障 ， 只 要 选择 足 
够 长 的 发 送 间 隔 ， 以 确保 传输 无 论 是 否 按 时 启动 都 适应 时 间 间 隔 。 具 体 来 说 ， 
TTP/C 守护 者 防止 物理 层 上 信息 的 线路 编码 中 的 SOS 故障 、SOS 时 序 故 障 、 传 
输 数 据 超 出 了 指定 发 送 时 隙 、 传 输 未 经 允许 的 重要 状态 信息 ， 并 且 防 止 故障 节点 
伪装 成 其 他 节点 ， 这 些 都 违反 了 上 面 提 到 的 “真实 性 ”属性 。 这 些 节点 故障 有 
效 地 转化 为 可 以 被 协议 容纳 的 发 送 或 接收 故障 。 


15.2.2 ”组 成 员 和 派系 失效 (策略 ) 


组 成 员 资格 是 TTPZC 的 中 心机 制 之 一 。 它 提出 了 一 个 一 致 性 观点 : 对 于 所 
有 非 错误 节点 来 说 ， 哪 些 可 操作 ， 而 哪些 不 可 操作 。 

TDMA 通信 策略 用 直接 的 方式 来 检测 故障 : 由 于 节点 发 送信 息 有 指定 的 时 阶 
CSUN) ， 传 输 缺 失 可 以 作为 失败 的 标志 。 更 精确 地 说 ， 如 果 一 个 节点 在 给 定 
时 槽 内 接收 到 正确 的 信息 ,那么 它 认 为 各 个 发 生 顺 运作 正常 。 在 信息 遗漏 的 情况 
下 ， 节 点 持 有 以 自我 为 中 心 的 观点 ， 并 认为 发 送 节 点 故障 ， 而 不 是 马上 假设 自身 
出 故障 。 因 此 ， 只 用 信息 来 判断 发 送 者 的 生命 特征 已 经 满足 不 了 节点 的 故障 行为 
的 处 理 。 为 了 考虑 节点 诊断 故障 ， 信 息 也 携带 有 关 发 送 者 的 局 部 感知 现任 成 员 资 
格 的 消息 ， 这 是 附加 到 每 条 信息 的 普通 数据 中 的 。 

除了 确定 其 他 节点 是 否 出 现 故 障 ， 节 点 也 有 必要 进行 自我 诊断 。 节 点 可 以 通 
过 确认 机 制 给 信息 的 发 送 者 通知 故障 。 在 TTPAC 中 ,确认 任务 被 隐 式 地 完成 。 
下 一 个 播送 者 ¢ 通过 在 本 地 成 员 中 保留 或 删除 p， 将 确认 信息 作为 其 信息 的 一 部 
分 ， 而 不 是 向 原 发 出 者 发 送 一 个 单独 的 答复 信息 。 先 前 的 发 送 者 分 析 这 条 信息 
来 确定 它 最 初 的 信号 是 否 发 送 成 功 。 如 果 p AM q 没有 确认 原始 信息 ， 则 可 能 p 
出 现 发 送 故 障 ， 也 可 能 4 出 现 接收 故障 。 要 解决 此 问题 歧义 ， 紧 随 4 的 发 送 者 将 
会 做 出 判断 ， 确 定 p 或 g 是 正确 的 。 

一 个 类 似 的 机 制 也 可 用 于 诊断 接收 故障 : 如 果 一 个 节点 没有 收 到 预期 的 信 
息 ， 它 可 以 检查 下 一 个 发 送 者 是 否 保留 在 原始 发 送 者 的 成 员 组 中 ， 在 这 种 情况 
下 ， 接 收 方 必须 认识 到 ， 它 遇 到 了 接收 故障 。 然 而 ，TTPAC 采用 了 略 有 不 同 的 
机 制 ， 同 时 也 用 于 避免 在 同一 时 间 不 相交 的 派系 信息 。 一 个 派系 是 仅 在 当前 组 内 
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达成 状态 协议 的 一 组 节点 的 集合 。 如 有 果 接 收 计 点 不 同意 发 送 者 组 内 成 员 的 观点 ， 
或 者 如 果 一 点 也 没有 收 到 信息 ， 那 么 它 总 是 会 从 它 的 成 员 设 置 中 排除 目前 的 发 送 
者 。 此 外 ， 每 个 节点 包含 两 个 用 来 跟踪 节点 已 经 成 功 接收 和 拒绝 了 多 少 条 信息 的 
计数 器 。 如 果 节 点 不 同意 发 送 者 对 成 员 的 看 法 ， 那 么 它 将 递增 被 拒绝 的 信息 计数 
器 ; 而 每 当 接收 的 信息 与 成 员 组 相 匹配 ， 那 么 成 功 接收 信息 的 计数 器 将 递增 。 在 
下 一 个 发 送 时 模 ， 节 点 将 会 检查 在 上 一 个 循环 中 它 是 否 接 收 了 而 不 是 拒绝 了 更 多 
的 信息 。 如 果 是 ， 该 节点 将 会 复位 计数 器 和 信和 号 发 送 器 。 另 一 种 情况 表明 该 节点 
与 多 数 节 点 有 分 层 ， 因 此 不 会 发 出 信号 ， 因 而 把 它 自身 故障 通知 给 其 他 节点 。 

对 于 组 成 员 算法 ， 人 们 真正 感 兴趣 的 是 以 下 三 个 特性 : 

。 有效期: 在 任何 时 候 ， 成 员 组 都 应 该 包含 且 只 包含 非 故障 节点 ， 而 故障 
节点 应 该 从 它们 的 组 员 中 去 除 。 

© 协议 : 在 任何 时 候 ， 所 有 非 故 障 节 点 都 应 该 有 相同 的 成 员 组 集合 。 

© 自 诊 断 : 出现 故障 的 节点 应 该 最 终 诊断 其 故障 ， 并 及 时 从 它 自 己 的 成 员 
组 中 去 除 本 里 。 


15. 2.3 ”时 钟 同步 


可 靠 的 分 布 式 实 时 系统 的 关键 取决 于 容错 时 钟 同步 。 这 点 对 于 TTA 来 说 ， 
尤其 正确 ， 因 为 TTA 中 的 节点 是 根据 预定 的 静态 调度 也 就 是 说 触发 时 间 的 推移 
来 执行 任务 。 很 显然 ， 所 有 节点 的 时 钟 必须 保持 足够 徘 近 ， 且 同步 性 可 以 在 一 定 
程度 上 容错 。 

为 了 容错 的 原因 ， 每 一 个 节点 都 配 有 上 自己 的 本 地 时 钟 一 一 “物理 时 钟 ”， 一 
般 地 由 一 个 离散 的 计数 需 实 施 ， 计 数 器 由 晶体 振荡 器 定期 触发 。 由 于 这 些 振荡 央 
不 以 恒定 频率 振动 ， 因 此 时 钟 漂移 与 它们 的 外 部 参考 时 间 有 关 ， 且 它们 之 间 彼 此 
相似 。 因 此 ， 必 须 通过 调整 节点 的 物理 时 钟 来 定期 再 同步 节点 的 时 钟 ， 以 保持 它 
与 其 他 节点 的 时 钟 同步 。 这 样 ， 节 点 必须 获得 其 他 节点 的 时 钟 信息 。 

通过 反复 地 调整 节点 的 物理 时 钟 ， 一 个 时 钟 同 步 协议 实现 了 每 个 节点 的 所 谓 
的 “逻辑 时 钟 "。 同 步 算法 的 任务 就 是 给 偏离 定 界 ， 即 任何 两 种 无 故障 的 节点 的 
逻辑 时 钟 的 读数 之 间 的 绝对 差 减 小 到 最 小 值 。 

协定 : 在 任何 时 候 ， 所 有 无 故障 节点 的 逻辑 时 钟 的 值 应 该 接近 相等 。 

要 解决 这 个 问题 ， 通 常 需 要 对 物理 时 钟 读数 进行 调整 ， 使 其 被 限制 在 一 些 较 









































小 的 值 。 
精度 : 一 个 无 故障 节点 的 时 钟 在 每 个 同步 间隔 内 改变 的 值 被 限制 在 较 小 的 范 











时 钟 同步 的 问题 是 很 好 理解 的 ， 相 当 数 量 的 不 同 的 算法 已 被 用 来 产生 同步 时 
钟 ， 它 们 对 硬件 架构 、 故 障 模型 、 同 步 时 钟 的 质量 或 附加 信息 过 载 有 不 同 的 要 求 
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或 假设 。 

TTP/C 的 时 钟 同步 算法 ,属于 所 谓 的 平均 收敛 算法 ， 其 特征 在 于 通过 使 用 
平均 函数 从 其 他 时 钟 收集 的 读数 中 计算 一 个 新 的 时 钟 。 典 型 的 平均 算法 舍 掉 定义 
数量 的 最 大 和 最 小 的 时 钟 读数 ， 以 补偿 可 能 的 错误 读数 ， 并 根据 均值 或 剩余 数 
(或 其 中 一 些 ) 的 中 值 来 调整 该 节点 的 时 钟 。 然 而 ， 在 TTPZC 实现 的 算法 中 ， 显 
示 了 几 种 特殊 的 特性 。 首 先 ， 它 完全 融和 人 节点 的 常规 的 信息 交换 中 。 它 是 通过 利 
用 系统 的 时 序 行为 的 常识 来 完成 的 : 由 于 TDMA 驱动 的 通信 机 制 ， 每 个 节点 确 
切 地 知道 在 什么 时 候 有 信息 从 发 送 节点 发 送 。 这 方面 的 知识 ， 更 精确 地 说 ， 信 息 
预计 到 达 的 时 间 与 实际 到 达 的 时 间 之 间 的 偏差 ， 被 用 来 计算 发 出 节点 的 时 钟 读数 
的 预 估 值 。 但是， 节点 只 保留 四 个 最 近 接 收 到 的 所 测量 的 时 间 的 差 值 信息 。 在 重 
新 闻 步 时 ， 节 点 舍弃 这 四 个 时 钟 读数 中 的 最 大 值 和 最 小 值 ， 并 使 用 剩 下 的 两 个 值 
的 平均 值 来 调整 本 地 时 钟 。 这 个 过 程 被 称 为 容错 平均 算法 50 。 此 外 ， 节 点 为 保 
持 同 步 的 四 个 时 钟 读数 被 进一步 限制 。 如 果 该 信息 被 接收 节点 认为 是 正确 的 ， 那 
么 节点 才 计 量 抵达 时 间 。 特 别 的 是 ， 这 意味 着 发 送 方 和 接收 方 同意 包括 当前 成 员 
的 当前 协议 状态 。 因 而 ， 只 有 发 送 节点 属于 接收 器 相同 组 时 ， 时 间 差 值 才 会 被 保 
留 。 因 此 ， 为 了 正确 地 运作 时 钟 同 步 ， 会 员 服 务 协 议 的 保持 即 所 有 非 故障 节点 属 
于 同一 组 是 至 关 重 要 的 。 这 充分 体现 了 在 TTP/C 中 不 同 算法 中 的 深层 次 和 有 趣 
的 相互 作用 。 

除了 它 的 特殊 性 外 ，TTPZC 的 算法 和 众所周知 的 同步 算法 是 密切 相关 的 ， 
实际 上 它 可 以 被 看 做 是 Lundelius - Welch 与 Lynchl5] 的 容错 中 点 算法 和 Lamport 
与 Melliar — Smith 的 交互 收敛 算法 [ 16] 的 一 个 变 体 。 


15.2.4 启动 和 整合 


启动 问题 和 时 钟 同步 是 密切 相关 的 。 当 同步 必须 调整 节点 的 本 地 时 钟 ， 以 便 
它们 即使 有 硬件 的 时 钟 漂移 也 能 保持 同步 时 ， 为 了 给 本 地 时 钟 建立 一 致 性 值 ， 并 
且 使 节点 首次 局 动 时 它们 能 很 快 同步 ， 启 动 算法 是 有 必要 的 。 局 动 的 另 一 种 情况 
是 重新 启动 ， 当 瞬时 故障 已 经 涉及 一 个 或 多 个 节点 (或 所 有 ) 后 ， 时 钟 同 步 需 
要 重新 建立 。 

对 节点 而 言 ， 解 决 启动 问题 的 基本 方法 是 对 一 段 时 间 没 有 流量 的 节点 发 送 携 
带 了 自己 的 特征 的 “唤醒 ”信息 。 此 信息 提供 一 个 所 有 节点 都 可 以 用 作 本 地 时 
钟 的 基准 的 共同 的 事件 ， 且 发 出 者 的 身份 表示 在 TDMA 调度 表 中 的 位 置 ， 它 对 
应 着 相应 的 时 间 。 

当然 ， 两 个 节点 可 能 决定 在 几乎 相同 的 时 间 发 送 唤醒 信息 ， 并 且 这 些 信息 将 
在 通道 上 “碰撞 ”。 在 基于 总 线 的 TTA 中 ,碰撞 信息 的 信号 物理 着 加 在 所 述 介质 
上 ， 但 传播 延迟 会 导致 不 同 的 节点 在 不 同 的 时 间 查 看 信号 ， 因 而 导致 碰撞 检测 是 
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不 可 靠 的 。 在 星 形 拓扑 结构 中 ， 中 央 和 守护 者 仲裁 碰撞 ， 并 从 任何 节点 几乎 同时 向 
前 到 达 其 他 节点 的 信息 中 只 选取 一 条 。 然 而 ， 每 个 中 央 守 护 者 的 仲裁 独立 ， 所 以 
节点 可 以 在 几乎 同一 时 刻 在 两 个 通道 上 收 到 不 同 的 信息 ; 解决 这 些 “ 逻 和 辑 碰撞 ” 
是 启动 算法 的 任务 。 

在 节点 上 执行 的 启动 算法 是 基于 两 种 超时 参数 ， 听 超时 fe" 和 冷 启动 超时 
To 每 个 节点 p 的 超时 是 唯一 的 ， 每 个 听 超 时 的 值 大 于 所 有 冷 启 动 超时 的 
值 。 要 区 分 两 种 情况 : 要 么 起 始 节 点 可 以 (重新 ) 整合 到 一 个 已 经 运行 的 和 同 
步 的 节点 集合 中 ， 要 人 么 它 必须 初始 化 或 等 待 要 执行 的 一 个 冷 启 动 。 要 确定 是 否 已 
经 存在 一 个 同步 的 节点 集合 来 整合 ， 节 点 首先 要 听取 通道 的 整合 信息 ， 这 些 信 息 
在 同步 操作 过 程 中 周期 性 传送 ， 且 携带 包括 在 TDMA 循环 内 位 置 达成 的 协议 状 
态 。 如 果 节 点 接收 到 这 样 的 信息 ， 该 节点 会 根据 信息 的 内 容 调整 其 状态 ， 并 因此 
进行 同步 设置 。 如 果 节 点 的 听 超 时 在 信息 收 到 之 前 过 期 ， 则 执行 冷 局 动 。 

在 冷 启动 过 程 中 ， 节 点 首先 等 待 接 收 一 个 类 似 于 普通 信息 、 但 携带 了 一 条 发 
送 节 点 提示 的 协议 状态 的 特殊 的 冷 启 动 信息 。 如 果 节 点 的 冷 启 动 超时 过 期 之 前 没 
有 接收 到 冷 启 动 信息 ， 那 么 节点 自己 将 发 送 一 个 冷 启动 信息 。 如 果 节 点 接收 到 这 
样 的 信息 ， 它 的 时 钟 复位 ， 并 等 待 男 一 个 roda 时 间 单 位 、 等 待 下 一 个 用 于 同 
步 的 信息 到 达 (无 论 是 冷 启动 或 正常 启动 )。 节 点 之 所 以 仅 和 接收 的 第 二 条 ( 冷 
启动 ) 信息 同步 ， 是 因为 有 被 称 为 大 爆炸 的 机 制 ， 存 在 两 个 节点 同时 或 重 侠 发 
送 冷 启动 信息 的 可 能 。 接 收 节 点 会 把 这 当做 一 个 逻辑 冲突 。 然 而 ， 随 后 的 信息 是 
确定 性 的 ， 这 是 由 于 节点 独特 的 超时 ， 因 此 不 会 进一步 发 生 碰 撞 : 冷 启 动 先 超时 
的 节点 先 发 送 。 此 外 ， 由 于 听 超 时 大 于 任何 冷 启动 超时 ， 所 以 新 的 起 始 节 点 不 会 
导致 男 一 次 冲突 。 

除了 冲突 之 外 ， 启 动 算法 必须 处 理 在 不 适当 的 时 间 发 送 “ 响 醒 ” 信 息 、 伪 
装 成 其 他 节点 和 错误 执行 计算 的 故障 节点 。 中 央 守 护 者 可 以 检测 和 屏蔽 这 些 故 
障 ， 但 增加 了 算法 的 复杂 性 ， 因 为 它们 本 身 必 须 在 启动 过 程 中 与 节点 同步 。 

因为 通信 系统 被 复制 ， 且 存在 两 个 中 央 守 护 者 ， 所 以 故障 节点 必须 不 能 初始 
化 或 渗透 到 一 个 启动 程序 中 ， 造 成 两 个 中 央 守 护 者 在 TDMA 调度 表 中 在 不 同 的 
位 置 启 动 是 特别 关键 的 。 当 然 ， 两 个 守护 者 之 一 本 身 可 能 出 现 故障 。TTA 系统 的 
容错 启动 显然 构成 一 个 相当 复杂 的 问题 ， 如 在 参考 文献 [17] 中 详细 讨论 的 那 
样 。 因 此 TTA 系统 的 容错 启动 为 形式 化 分 析 提 供 了 一 个 具有 挑战 性 的 课题 。 


15.3 ” 建 模 方 面 


























分 布 式 容错 算法 的 形式 化 分 析 注 定 是 一 项 艰巨 的 任务 ， 这 是 由 于 故障 和 故障 
的 组 件 造 成 的 算法 的 行为 的 巨大 复杂 性 。 由 于 这 种 分 析 一 般 在 算法 的 执行 层面 上 
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都 不 可 行 ， 所 以 充分 的 形式 化 模型 需要 仔细 开发 ， 且 要 解决 的 一 个 主要 问题 是 哪 
些 细节 应 该 是 模型 的 一 部 分 ， 哪 些 不 是 。 一 方面 ， 任 何 形 式 化 模型 应 尽 可 能 地 反 
映 真实 世界 。 男 一 方面 ， 在 形式 化 规范 中 包含 的 细节 量 极 大 地 影响 机 器 证 明 的 可 
行 性 。 对 于 模型 检验 和 基于 定理 证 明 的 方法 ,这 是 正确 的 。 首 先 , 采用 抽象 来 限 
制 在 模型 检测 及 分 析 中 必须 探讨 的 状态 空间 是 一 个 主要 的 问题 ， 对 于 一 个 实验 ， 
随 横 型 的 增长 运行 时 间 迅 速 增加 ， 并 很 快 变 得 不 可 行 。 同 样 ， 对 定理 证 明 而 言 ， 
通过 从 不 必要 的 或 无 关 紧 要 的 、 妨 碍 关注 证 明 主 要 方面 的 细节 中 ， 进 行 抽象 也 有 
利于 提高 规范 。 


15.3.1 建 模 计算 


许多 分 布 式 算法 ,包括 TITPZC 的 中 央 算 法 ,进行 一 系列 的 回合 运算 ， 可 以 
很 容易 地 描述 为 递 推 函 数 。 接 者 ， 正 确 性 证 明 通 常 或 多 或 少 涉及 简单 形式 的 推 
导 。RushbyL] 揭示 了 基于 圆 的 描述 是 怎样 和 更 密切 地 反映 算法 的 时 间 触 发 执行 
的 模型 联系 起 来 的 。 方 法 按 两 个 步骤 进行 ， 并 涉及 由 一 组 分 布 在 两 个 层次 上 的 抽 
象 节 点 表示 算法 的 执行 。 第 一 步 ， 基 于 圆 的 描述 转换 成 可 以 系统 地 完成 的 非 定时 
同步 系统 模型 5?] 。 在 此 模型 中 ， 所 有 的 节点 都 假定 完全 同步 ， 并 在 锁定 的 步骤 
中 操作 。 时 间 概 念 通过 计数 节点 所 采取 的 步骤 进行 抽象 捕 提 。 对 TTPZC 而 言 ， 
这 些 步 又 大 致 对 应 协议 调度 表 所 定义 的 时 槽 。 这 个 抽象 来 自 于 时 钟 同步 机 制 。 第 
二 步 包括 提炼 同步 模型 为 定时 同步 模型 ， 它 可 以 通过 一 种 独立 于 任何 给 定 算法 的 
通用 的 方式 来 实现 。 

一 个 指定 分 布 式 算法 的 标准 方式 就 是 状态 转换 系统 。 为 了 描述 在 分 布 式 系统 
中 一 个 节点 执行 的 一 个 给 定 的 算法 ， 人 们 定义 了 一 组 节点 开始 状态 ， 节 点 产生 的 
那些 信息 给 出 了 它 的 当前 内 部 状态 ， 以 及 在 信息 接收 端 它 是 如 何 从 一 个 状态 移动 
到 下 一 个 状态 的 。 更 形式 化 的 ， 节 点 需要 提供 以 下 三 种 功能 的 解释 : 

© initstate (p) ， 分 配给 每 一 个 节点 p 的 初始 状态 ; 

© msg (p，s) ， 这 是 信息 生成 函数 ， 它 表示 节点 在 状态 :发送 的 信息 ; 

e trans (p，s,，m)， 这 是 状态 转换 函数 ， 它 描述 了 节点 pp 在 状态 s 上 接收 
信息 m 后 的 新 状态 。 

接着 ,在 1 时 刻 分 布 式 系 统 中 的 算法 执行 的 快照 由 以 下 组 成 :， 所 有 节点 的 内 
部 状态 集合 5,、 节 点 生成 的 信息 集合 M 和 节点 接收 到 的 信息 集合 M+。 描 述 这 些 
集合 如 何 随 着 时 间 的 推移 而 发 展 的 粒度 是 系统 模型 的 特点 。 在 不 计时 的 同步 模型 
中 ， 时 间 以 时 槽 粒度 建 模 ， 并 上 且 算 法 的 执行 可 以 用 以 下 三 种 函数 来 描述 ， 其 中 
Slot 代表 时 槽 编号 ，Node 表示 节点 标识 符 : 

© state’; Slot xNode 一 State， 其 中 state (t, p) 给 出 节点 p FEAT BR FP UR 
时 的 内 部 状态 ; 
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© sent: Slot xNode >Message, FF sent (t, p) 表示 节点 p 在 时 际 1 期 间 发 
送 的 信息 ; 

© rcvd: Slot xNode >Message, FEP rcvd (t, p) 表示 节点 p 在 时 际 1 期 间接 
收 的 信息 。 

同步 系统 模型 中 的 一 个 节点 的 行为 ， 可 以 通过 把 实体 与 信息 生成 函数 msg 以 
及 状态 转换 函数 trans 联系 起 来 捕获 ， 这 就 构成 了 分 布 式 算 法 。 然 而 ， 算 法 必须 
区 分 一 个 节点 的 无 故障 和 有 故障 行为 。 对 于 无 故障 节点 ， 算 法 会 认为 它们 在 其 初 
始 状态 开始 ， 然 后 同步 执行 以 下 步骤 [1 ， 

(1) 应 用 信息 生成 函数 到 当前 状态 ， 以 确定 要 发 送 到 其 他 节点 的 信息 。 将 
这 个 信息 放 在 输出 通道 中 : 

sent(t,p) =msg| p,state*(t,p) | 

(2) 应 用 状态 转换 函数 到 当前 状态 和 通过 传人 通道 收 到 的 信息 中 ， 以 获得 

新 的 状态 。 删 除 通道 中 的 所 有 信息 。 


initstate ( p) if t=0 











State = E 
trans(p,state*(t-1,p),revd(t-1,p)) ift>0 


对 于 基于 TDMA 的 通信 模式 ， 比 如 在 TTP/C 中 ， 信 息 生成 函数 会 产生 一 些 
FRE, null 表示 对 于 所 有 节点 ， 没 有 信息 在 时 阶 上 调度 发 送 节 点 。 

故障 节点 的 行为 以 及 描述 发 送信 息 和 接收 信息 的 函数 ( 即 sent H rcvd) 的 关 
系 ， 受 分 析 研 究 中 采用 的 算法 的 故障 模型 支配 。 例 如 ， 如 果 节 点 需要 考虑 任意 的 
或 Byzantine 式 节 点 故障 ， 那么 函数 state 和 sent 可 以 假定 分 别 产 生 任 何 状态 或 信 
息 ， 而 不 必 服 从 信息 生成 函数 或 状态 转换 函数 。 例 如 ， 一 个 节点 的 故障 - 沉默 行 
为 ， 可 以 通过 定义 sent (t, p), MAITIE t EPEE null KER, 

由 于 不 定时 的 同步 系统 模型 是 从 时 序 方面 抽象 而 来 ， 所 以 具体 涉及 时 间 的 算 
法 比如 时 钟 同步 ， 不 在 这 个 层面 上 表达 。 因 此 ， 人 们 还 需要 更 详细 的 描述 来 建立 
节点 的 时 序 行为 的 模型 。 与 不 计时 的 同步 层面 的 模型 相 比 , “定时 同步 模型 ” 额 
外 引入 了 形式 化 节点 的 本 地 时 钟 的 实体 ， 状 态 更 新 和 信息 生成 目前 以 一 个 更 细 粒 
度 的 方式 在 时 钟 的 滴答 声 的 层面 上 ， 而 不 是 时 槽 的 层面 上 描述 。 

和 同步 系统 模型 相 比 ， 用 来 描述 时 间 触 发 系统 的 函数 的 数量 增加 一 倍 。 除 了 
描述 一 个 节点 内 部 状态 的 函数 state Yh, PRIA message 被 引入 用 来 表示 在 某 一 时 刻 
一 个 节点 可 用 的 信息 。 此 函数 延伸 了 从 同步 系统 模型 中 知道 的 信息 接收 的 概念 。 
FRAP UIE, PRB rod 表示 在 一 个 时 隙 期 间 信 息 到 达 节 点 ; 然而 ， 在 时 间 触 发 模 
型 中 ， 不 得 不 考虑 到 该 信息 是 否 按时 到 达 。 如 果 按 时 到 达 ， 信 息 对 应 于 rod, T 
则 会 产生 空 的 信息 。 此 外 ， PAX send_ time 和 arr_ time 分 别 表 示 节 点 发 送 和 接 
收 信息 的 时 刻 〈 实 时 ) 。 

更 形式 化 地 ， 执 行 分 布 式 算法 的 时 间 触 发 系统 通过 以 下 函数 措 述 ; 
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© state": ClockTime x Node 一 State， 其 中 当 节 点 p 时 钟 读 取 时 间 了 时 , state" 
(T, p) 给 出 节点 了 的 内 部 状态 ; 

© message: ClockTime x Node—Message, FEP HT R p 在 其 逻辑 时 钟 读 取 时 
钟 了 时 message (T, p) 给 出 节点 p 可 以 利用 的 信息 ; 

© sent: Slot x Node—Message, FEP sent( sl,p) 表 示 节 点 p ERTAS sl 期间 发 送 
的 信息 ; 

© rcvd: Slot x Node—Message, FP revd(sl,p) RIKTE S p CEMA sl 期间 接收 
的 信息 ; 

© send_ time; Slot x Node—realtime, 其 中 send_time(sl ,p) 表示 节点 p He Fey Fa 
sl 发 送信 息 的 实时 时 刻 ; 

© arr_ time; Slot x Node—realtime, AF arr_time(sl,p) RIST S p TEMAS sl 
接收 信息 的 实时 时 刻 。 

上 述 实体 涉及 的 两 个 时 间 概 念 必须 区 分 ,实时 和 时 钟 时 间 中 。 实 时 是 一 个 
抽象 的 概念 ， 在 系统 中 并 不 可 以 直接 观察 ， 而 时 钟 时 间 是 本 地 的 节点 通过 其 时 钟 
可 利用 的 时 间 概 念 。 一 个 节点 p 的 (逻辑 ) 时 钟 LC, 把 实时 的 时 间 上 和 时 钟 时 间 
了 联系 起 来 ， 因 此 LC, (1) 表 示 节 点 p 的 时 钟 在 实际 时 间 1 的 读数 。 

就 像 在 同步 系统 模型 中 一 样 ， 上 面 的 实体 都 需要 和 实际 建立 研究 中 的 分 布 式 
算法 模型 的 那些 内 容 联系 起 来 。 和 同步 世界 不 同 ， 实 体 不 仅 要 形式 化 一 个 节点 怎 
么 开始 ， 而 且 要 形式 化 它 何 时 采取 步骤 。 为 此 ， 引 入 函数 senedule(% ) ， 为 每 一 
AS ESTAS #1 产生 一 个 节点 启动 时 槽 的 时 钟 时 刻 。 概 念 上 ， 时 柳 可 以 分 为 节点 发 送 
和 接收 信息 的 “通信 阶段 ”和 一 个 节点 更 新 自己 的 内 部 状态 的 “计算 阶段 "8]。 
这 些 概念 用 函数 cmp_stiari( sl) 来 反映 ， 该 函数 表示 一 个 节点 在 时 模 % 结束 其 通信 
阶段 并 开始 其 计算 阶段 时 的 偏 移 量 。 

使 用 这 些 函 数 ， 一 个 无 故障 节点 的 内 部 状态 可 以 如 下 步 又 来 建 模 . 

。 第 一 时 隙 的 开始 时 刻 ,p 是 在 其 初始 状态 : 

State" | schedule(0) ,p | = initstate(p) 

。 在 时 覃 的 通信 过 程 中 ， 一 个 节点 的 状态 保持 不 变 : 

如 果 schedule( sl) <T <schedule( sl) + cmp_start(sl) ， 

则 state" (Tp) = state" | schedule(sl) ,p |. 

。 在 节点 的 计算 阶段 ， 节 点 p 根据 其 状态 转换 函数 更 新 它 的 内 部 状态 ， 状 
态 转 换 函 数 在 通信 阶段 结束 时 被 施加 到 p 的 状态 ， 在 该 时 间 对 节点 p 可 用 的 信 
息 为 : 







































































































































































State" | schedule(sl +1),p] =trans[ p,state"“(T,p) ,m] 
其 中 
T = schedule( sl) + cmp_start(sl) , 
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H m =message(T,p) o 

为 了 表征 message( T, p) 的 值 ， 需 要 考虑 节点 是 否 在 最 后 一 个 通信 阶段 收 到 
信息 ; 如 果 是 这 样 ， 则 它 对 应 于 rcvd( sl1,p) ， 否 则 该 信息 为 空 。 

如 果 schedule( sl) <arr_time(sl,p) <schedule(sl) + cmp_start(sl) , 

则 

message(T,p) =rcvd(sl,p) 。 


15.3.2 建 模 时 间 


TTA 启动 算法 一 直 受 到 多 个 基于 模型 检查 技术 的 形式 化 分 析 的 支配 。 模 型 检 
查 技术 的 一 个 共同 的 方面 是 相当 一 大 部 分 的 努力 致力 于 保持 模型 的 大 小 在 一 个 计 
算 上 可 行 的 范围 之 内 ， 而 在 同时 ， 针 对 现实 的 形式 化 模型 不 采用 过 于 简单 化 的 
抽象 。 

对 于 启动 问题 ， 主 要 内 容 就 是 如 何在 形式 化 的 模型 中 充分 捕 提 时 间 概 念 。 定 
时 自动 机 是 针对 实时 系统 验证 的 一 种 成 功 的 形式 主义 ， 并 且 以 最 现实 的 形式 化 方 
式 把 时 间 看 作 一 个 连续 变量 。 尽 管 如 此 ， 模 型 检查 定时 自动 机 是 可 判定 的 ， 并 存 
在 专门 的 模型 检测 工具 如 Kronos 和 UPPAAL。Linnt20 认为 TDMA 系统 的 启动 算 
法 类 似 TTA 的 启动 算法 ， 并 使 用 UPPAAL 验证 其 中 的 一 种 。 

由 于 模型 检查 定时 自动 机 计算 复杂 ， 因 此 当 重 点 从 时 间 方 面 转移 到 分 析 复 杂 
的 故障 行为 或 大 量 的 不 同 的 故障 工 况 时 ， 可 能 需要 其 他 的 形式 主义 和 抽象 。 在 
TTA 启动 的 分 析 中 ，Steiner 等 [1 采用 把 时 槽 作为 不 可 分 割 单 位 的 离散 时 间 来 进 
行 抽象 。 与 上 一 节 中 所 描述 的 同步 模型 相似 ， 该 模型 根据 具体 的 时 际 的 具体 时 间 
和 在 不 同 的 节点 的 时 际 偏 移 多 少 进 行 抽象 。 节 点 通过 在 TDMA 调度 表 中 报 出 时 
槽 数 来 计时 ， 且 一 组 节点 的 集体 行为 被 建 模 为 离散 系统 的 同步 组 合 。 

Dutertre 和 Sorea 描述 了 一 种 把 时 间 保 存 为 一 个 连续 变量 的 方法 ， 但 也 通过 
模型 检验 程序 使 定时 系统 负责 分 析 离 散 过 渡 系 统 !"] 。 然 而 ， 由 于 状态 空间 变 得 
无 限 大 ， 以 满足 度 模 数 理论 为 基础 的 (基于 SMT) 有 界 模型 检验 程序 是 必要 的 。 
应 用 这 些 方 法 来 验证 使 用 归纳 的 TTA 启动 算法 。 

这 些 做 法 的 中 心 是 事件 日 历 的 概念 ， 众 所 周知 它 是 来 自 于 离散 事件 仿真 领 
域 。 一 个 事件 日 历 存 储 某 些 事件 发 生 的 时 间 ， 如 某 个 节点 信息 接收 的 未 来 发 生 时 
间 。 这 样 的 日 历 自动 机 的 两 种 类 型 的 转换 是 有 区 别 的 : 推进 时 间 的 时 间 进 度 转 
换 ; 更 新 状态 变量 的 离散 转换 。 在 每 一 步 ， 只 启用 一 种 过 渡 类 型 : 要 么 时 间 推 进 
到 下 一 个 事件 日 历 控 制 的 调度 事件 发 生 时 刻 ; 要 么 是 采用 当前 时 刻 发 生 事件 的 离 
散 转 换 之 一 。 附 加 的 约束 确保 时 间 总 是 被 最 大 限度 地 推进 ， 且 保证 在 没有 时 间 进 
度 的 情况 下 ， 不 存在 离散 转换 的 无 限 序列 。 这 种 方法 的 优点 是 ， 所 有 的 变量 包括 
时 间 ， 在 离散 步骤 中 演变 ， 因 此 也 没有 必要 通过 允许 任意 小 的 时 间 步 来 近似 连续 
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动态 性 能 。 实 际 上 ， 这 减少 了 可 能 的 转换 数量 和 系统 模型 的 大 小 。 

使 用 日 历 自动 机 ， 系 统 组 件 如 TTA 中 的 节点 的 模型 异步 组 成 ， 且 通过 序 贯 
应 用 离散 转换 ， 建 立 同步 通信 模型 。Pikel2] 观察 到 通过 使 用 同步 合成 ， 多 路 转 
换 可 以 同时 应 用 。 建 立 在 Dutertre 和 Sorea 的 基础 上 ， 他 发 明了 同步 超时 自动 机 
模型 。 在 该 模型 中 ， 状 态 变 量 的 子 集 是 可 分 辨 的 ， 它 代表 了 同步 更 新 的 部 分 系统 
状态 。 就 像 在 日 历 自动 机 模型 中 一 样 ， 附 加 的 规则 确保 该 系统 进展 。 此 外 ， 可 以 
说 异地 除去 同步 超时 自动 机 模型 中 的 时 钟 (按照 它 被 更 新 的 量 ) ， 因 此 它 的 当前 
值 可 以 由 模型 的 其 他 组 件 得 到 。 这 种 优化 降低 了 状态 空间 和 系统 转换 的 数目 ， 从 
而 可 以 分 析 更 大 规模 的 模型 。Pike 把 他 的 方法 ， 用 在 一 个 称 为 Spider 的 相关 的 分 
布 式 容 错 架 构 中 实施 的 整合 协议 中 [3]。 


15.3.3 ” 建 模 故障 


建立 容错 系统 模型 包括 相对 系统 提供 的 容错 性 能 故障 的 故障 假设 的 慎重 考 
虑 。 故 障 假 设 包 括 可 能 发 生 的 各 种 故障 的 假设 、 故 障 出 现 频 率 和 可 以 容 妨 的 故障 
总 次 数 。 

混合 故障 模型 :中国 ] 可 以 区 分 不 同 严重 程度 的 各 种 类 型 故障 。 例 如 ， 可 以 被 
无 故障 节点 持续 检测 到 的 故障 是 不 太 严 重 的 ， 被 称 为 是 良性 的 ， 或 明显 故障 。 对 
称 性 故障 一 般 不 会 被 立即 检测 到 ， 但 每 个 无 故障 节点 会 观察 到 相同 的 行为 。 最 严 
重 的 故障 类 型 是 不 对 称 故障 ， 它 可 能 对 不 同 的 无 故障 节点 显示 出 不 同 的 行为 。 

TTA 的 主要 故障 假设 是 单 故 障 假 设 ， 即 该 架构 可 以 容忍 它 的 组 件 之 一 的 任意 
故障 。 最 近 ， 一 个 新 的 更 广泛 的 解决 多 个 组 件 的 瞬 态 故障 的 故障 假设 已 经 被 讨 
论 [%]。 它 依赖 于 一 个 允许 系统 排除 故障 节点 短暂 混乱 后 重 构 的 强大 的 派系 解决 
算法 。 

对 于 发 生 故 障 组 件 ， 存 在 更 多 的 设计 选择 。 例 如 ， 故 障 模型 可 以 包括 链接 故 
障 来 形容 通信 通道 的 故障 。 或 者 ， 通 道 可 以 被 看 做 是 属于 发 送 方 或 接收 方 ， 可 以 
通过 把 故障 归 因 到 特定 节点 来 抽象 通道 故障 。 例 如 ，TTA 组 成 员 算法 的 分 析 只 考 
虑 故障 节点 〈 它 可 以 是 发 送 故障 或 接收 故障 ) Pike 等 "2 抽象 节点 故障 为 只 影 
响 一 个 节点 的 发 送 能 力 ， 以 便 节点 接收 信息 失败 最 终 体现 为 该 节点 的 发 送 故 障 。 

相对 于 一 般 的 故障 模型 ， 可 以 进行 基于 定理 证 明 的 演绎 分 析 。Pike 等 7] 提 
出 各 种 抽象 ， 便 于 建 模 和 分 析 容 错 系统 ， 其 中 包括 描述 故障 及 其 对 节点 发 送 和 接 
收 各 条 信息 正确 性 影响 的 抽象 。 在 他 们 的 模型 中 ， 存 在 两 种 类 型 的 抽象 信息 : 接 
收 的 信息 携带 接收 节点 可 以 提取 的 相关 的 信息 数据 m， 然 而 所 有 检测 到 的 不 正确 
言 息 被 抽象 为 一 个 单一 的 良性 信息 。 故 障 采用 函数 send 进行 抽象 建 模 ， 该 函数 
根据 以 下 故障 状态 ， 描 述 节 点 + 从 发 送 方 ; 接收 的 抽象 信息 : 

accepted (m) 如 果 status(s) = good 
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benign WÈ status(s) = benign faulty 
send(m, status ,s,r) = 4sym(m,s) 如果 status(s) = symmetric faulty 
asym(m,s,r) 如 果 status(s) = asymmetric faulty 
在 没有 进一步 的 属性 被 假定 为 接收 的 特定 信息 时 ， 函 数 sym 和 asym 在 某 种 
意义 上 是 不 能 解释 的 。 但 是 ， 在 sym 的 情况 中 ， 可 以 推导 出 所 有 节点 都 接收 同样 
的 尽管 是 未 知 的 信息 ， 而 对 于 两 个 接收 器 > Flr’, asym (m, s, r) 表示 的 信息 
一 般 是 不 等 于 asym (m, s, r")。 因 此 ,不 对 称 故 障 节点 的 故障 行为 是 完全 不 
明 的 。 
与 故障 建 模 的 陈述 方法 不 同 ， 故 障 的 影响 必须 在 一 个 模型 检查 背景 中 被 明确 
地 建 模 。 例 如 ， 建 立 非 对 称 发 送 故 障 模型 ， 需 要 允许 一 个 节点 发 送 不 同 的 信息 到 
不 同 的 节点 。 用 于 模型 检验 程序 的 规范 语言 通常 文 持 表达 从 一 个 给 定 的 基 组 中 不 
确定 性 选择 一 个 元 素 ， 因 此 不 对 称 发 送 故障 节点 可 以 为 每 个 接收 节点 通过 不 确定 
性 选择 信息 来 建立 模型 。 


15.4 ”验证 技术 


TTA 的 容错 性 能 和 其 底层 通信 协议 TTP/C 已 被 采用 的 各 种 技术 进行 了 形式 
化 分 析 。 本 节 重 点 采取 的 办 法 是 定理 证 明和 模型 检测 分 析 。 


15.4.1 定理 证 明 


除了 仔细 开发 的 模型 外 ， 合 理 组 织 证 据 对 于 处 理 容错 系统 演绎 性 验证 的 复杂 
性 是 必 不 可 少 的 。 接 下 来 描述 的 技术 ， 包 括 把 目标 分 解 成 易于 管理 的 步骤 的 方法 
及 应 用 专门 的 证 明 技 术 。 

15.4.1.1 精细 化 

为 了 便于 推导 ， 一 般 都 将 形式 化 证 明 分 解 成 一 系列 的 小 步骤 。 这 种 方法 的 一 
个 案例 是 精细 化 风格 的 演绎 法 ， 即 一 开始 通过 一 个 抽象 的 形式 指定 所 需 的 属性 ， 
然后 根据 对 一 些 实体 的 抽象 模型 的 假设 ， 证 明 该 属性 的 正确 性 。 随 后 ， 更 多 的 细 
节 被 添加 到 这 个 初始 的 抽象 模型 上 ， 例如， 提供 某 些 抽象 实体 的 具体 诠释 。 然 
后 ,通过 证 明 详细 的 解释 满足 抽象 论据 依赖 的 假定 ， 针 对 精细 化 模型 也 拥有 理想 
属性 的 证 明 可 以 从 抽象 模型 那里 继承 下 来 。 

中 央 的 守护 者 的 容错 属性 分 析 在 基于 星 形 TTA 系统 中 遵循 这 个 总 体 方 
案 [3]。 为 了 证 明 中 央 守 护 者 延伸 可 以 被 系统 承受 的 故障 类 ， 开 发 了 一 系列 的 、 
分 层 方式 组 织 的 形式 化 模型 。 

每 个 模型 为 证 明 所 需 属性 的 正确 性 推动 一 小 步 。 每 个 步骤 本 身 是 基于 一 组 假 
设 或 先决 条 件 ， 并 在 每 个 模型 层 ;， 建 立 以 下 形式 的 定理 。 
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assumption ;=properties ; 

我 们 的 想法 是 以 这 样 的 方式 设计 不 同 的 模型 ， 造 成 在 一 个 层次 上 的 属性 建立 
下 一 层次 的 假设 。 最 终 ， 这 些 模型 集成 、 推 理 结合 起 来 ， 从 而 产生 大 致 像 下 面 类 
型 的 连锁 影响 : 

assumptiong = properties) assumption | =propertiesı =>***=>properties s 

最 终 属性 Propertiesy 对 应 TTP/C 通信 所 需 的 正确 主 属 性 ， 而 最 初 的 假设 as- 
sumptiony 描述 了 构成 基本 故障 的 内 容 。 

最 抽象 模型 描述 了 由 节点 接收 的 信息 。 在 这 里 ， 节 点 为 了 判断 所 接收 的 信息 
正确 性 而 采取 各 种 动作 被 形式 化 了 。 这 相当 于 考虑 发 送 时 间 和 信号 编码 信息 ， 以 
及 多 项 一 致 性 检查 的 输出 。 然 后 ， 通 信 的 主要 正确 属性 是 通过 这 些 概念 表示 的 。 
这 个 模型 层 假设 关注 有 关 功 能 要 求 。 特 别 的 是 ， 它 们 描述 了 信道 发 送信 息 的 属 
性 ， 比 如 信号 编码 或 传输 时 间 ， 并 反映 通信 网 络 可 能 发 生 故 障 的 假设 。 在 本 质 
上 ， 这 个 模型 建立 了 一 个 命题 ， 可 以 不 完全 表示 为 : 

general _ channel _ properties=>Validity N Agreement A Authenticity 

下 一 层次 通过 不 配置 守护 者 的 通道 建立 了 信息 传输 模型 。 接 着 ， 目 标 是 获得 
基本 假设 模型 ， 正 如 general channel _ properties 表达 式 所 覆盖 的 。 然 而 ， 为 了 这 
样 做 ， 一 个 有 关节 点 可 能 的 故障 类 型 的 强力 假设 是 必要 的 。 例 如 ， 这 个 很 强力 的 
故障 假设 要 求 即 使 故障 的 节点 也 不 能 在 超出 本 身 时 槽 的 时 间 内 数据 ， 且 当 节 点 没 
有 被 调度 发 送 数据 时 ， 节 点 从 来 不 发 送 正确 信息 。 

strong _ fault _ hypothesis= general _ channel _ properties 

采用 的 守护 者 将 任意 节点 故障 转换 成 由 故障 模型 所 涵盖 的 故障 。 因 此 ， 强 力 
的 故障 假设 可 以 被 替换 成 较 弱 的 有 关 守 护 者 正确 行为 的 假设 。 守 护 者 的 功能 和 属 
性 在 第 三 种 层次 结构 模型 中 进行 了 正式 规定 ， 建 立 了 以 下 关系 : 

weaker _ fault _ hyp. N generic __guardian=general _ channel _ properties 

守护 者 模型 是 通用 的 ， 例 如 ， 它 并 没有 规定 在 通信 网 络 中 使 用 的 守护 者 类 
型 。 最 后 一 级 的 层次 结构 为 两 个 典型 TTP/ C 网 络 的 拓扑 结构 中 的 每 一 个 都 建立 
了 模型 ,总线 拓扑 结构 和 星 形 拓扑 结构 。 对 于 前 者 ， 每 个 网 络 节点 都 配备 有 自己 
的 本 地 总 线 守护 者 ， 每 个 通道 一 个 ;而 后 者 守护 者 被 放置 在 通道 的 中 央 星 形 看 合 
装置 内 。 在 此 模型 层次 中 ， 显 示 出 守护 者 的 属性 是 独立 于 选择 的 特定 拓扑 结构 ， 
它 给 出 了 本 地 总 线 的 守护 者 和 中 央 守 护 者 实施 相同 的 算法 。 因 此 ， 下 面 的 关系 
成 立 : 
























































local bus  guardian=generic _ guardian 


central _ star guardian=generic_ guardian 
15.4.1.2 通用 性 验证 
类 似 于 精细 化 的 验证 策略 是 “通用 性 验证 ”策略 。 正 如 在 精细 化 的 方法 中 
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的 一 样 ， 研 究 了 一 种 问题 抽象 化 形式 ， 且 正确 性 的 证 明 是 基于 某 些 抽象 假设 。 然 
而 ,不 同 的 是 这 个 抽象 模型 的 目的 是 覆盖 一 整 类 类 似 问 题 。 在 这 个 意义 上 说 ， 验 
证 是 通用 的 ， 因 为 它 对 各 种 类 型 的 实施 是 有 效 地 ， 并 假定 它们 满足 抽象 假设 。 

已 经 采用 这 种 分 析 方 法 分 析 了 TTPZC 的 时 钟 同 步 算法 ， 且 在 验证 时 钟 同 步 
的 漫长 历史 发 展 中 ， 该 算法 与 其 他 算法 遵循 类 似 的 发 展 历程 。Schneider 观察 到 
平均 算法 的 参数 正确 性 是 非常 相似 的 。 这 一 类 算法 可 以 通过 引入 一 个 收敛 函数 
Ch 的 概念 ， 用 抽象 的 方式 来 捕获 ， 从 而 描述 对 节点 物理 时 钟 调整 的 计算 方式 。 
为 了 进行 重新 闻 步 ， 节 点 p 必须 以 某 种 方式 获得 其 他 节点 时 钟 读数 的 估计 值 ， 且 
结果 存储 在 一 个 数组 O, Fo MO, (4) ERR 4 点 读数 在 重新 邮 步 时 p 的 估计 
值 。 把 收敛 函数 应 用 到 这 个 时 钟 读 数 的 数组 中 ， 因 而 Gh (p, ©,) 就 是 新 的 、 
修正 后 p 的 时 钟 读数 。 该 值 和 p 时 钟 的 当前 读数 之 间 会 产生 差异 量 , p 据 此 调整 
其 时 钟 。 

Schneider 陈述 了 若干 种 相当 普通 的 收敛 函数 假设 ， 并 表明 它们 足以 证 明 一 
些 平均 算法 的 正确 性 。 随 后 ，Shankar 使 用 EHDM 系统 机 械 地 验证 了 Schneider 证 
ASS!) H Minert 3 进一步 改进 了 约束 和 证 明 自 身 的 组 织 。 

时 钟 同步 的 协议 属性 声明 ， 任何 时 候 任何 两 个 无 故障 节点 p 和 g 的 时 钟 读数 
之 差 由 一 个 固定 的 值 A 界定 : 

ILC,(t) -LC, G) 1 SA 

协议 属性 的 证 明 ， 一 般 可 以 通过 在 一 定数 量 的 重新 同步 的 时 间 间 隔 上 的 数学 
推导 来 完成 。 推 导 假 设 声 明 : 在 每 个 间隔 的 开始 ， 任 何 两 个 时 钟 之 间 的 偏差 由 
Ay <A 界定 。 然 后 ,证 明了 下 一 个 时 间 间 隔 ， 在 此 期 间 时 钟 读数 可 能 相互 偏离 ， 
但 其 偏差 不 超过 A。 最 后 ， 必 须 证 明 应 用 收敛 函数 将 带 来 时 钟 再 次 更 紧密 接近 ， 
因此 ， 下 一 个 时 间 间 隔 以 时 钟 落 在 另 一 个 Au 范围 内 开始 。 后 一 步骤 是 较 难 证 明 
的 一 步 ; 前 一 步骤 对 最 大 精度 施加 了 确定 性 的 约束 ， 对 于 时 钟 的 漂移 率 和 同步 间 
隔 的 长 度 ， 可 以 取得 给 定 的 具体 值 。 

Schneider 的 假设 本 质 上 是 用 一 种 通用 方式 表达 这 些 属性 在 完成 协议 的 证 明 
步骤 中 是 必需 的 。 它 们 中 的 一 些 关注 涉及 同步 算法 的 不 同 数量 之 间 的 相互 关系 ， 
比如 假设 的 时 钟 漂移 率 或 当 估 计 远 程 节点 时 钟 时 造成 的 最 大 误差 。 更 重要 的 假设 
关注 时 钟 同步 算法 运用 的 收敛 函数 的 特性 。 在 大 多 数 情况 下 ， 这 些 条 件 的 用 处 是 
归于 它们 从 其 他 概念 比如 故障 成 分 中 分 离 出 了 纯 数学 属性 。 

中 心 假设 之 一 被 称 为 精度 增强 ， 并 用 于 界定 两 个 应 用 收敛 函数 之 间 的 偏离 。 
实际 的 界限 取决 于 估计 的 时 钟 读数 数组 中 的 值 之 间 的 偏差 。 存 在 两 个 这 样 的 列 阵 
9 和 yy (分 别 用 于 两 个 节点 p 和 gq)， 精 度 增强 声明 应 用 p 和 的 收敛 函数 的 绝对 
值 差 不 超 过 可 CX, Y), 假设 9 和 中 的 对 应 项 相差 不 超过 X， 且 0 A 变化 的 
WEKE Y A, Eh, O (X, Y) < 了 对 于 真正 提高 精度 是 必需 的 。 
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精度 增强 原理 : 对 于 个 节点 ， 存 在 这 样 一 个 集合 C，1 C1 =n-f, HPS 
是 容错 数 ， 存 在 一 个 边界 (X, Y), (EE: 
如 果 VleC:ly(1) -0(1) | <X 





和 

Vl, meC: ly(l) -y(m)1 和 了 YY 和 10(1) -0(m) 1 SY 
IBA\Cfn(p, 0) -Cfn(q, y) | <TICX, Y) 

精度 增强 的 条 件 涉及 n 个 节点 的 子 集 C， 其 读数 储存 在 数组 9 和 7Y 中 。C 的 
元 素 必须 满足 精度 增强 的 先决 条 件 ， 且 要 求 C RELA n- WR, IFNA 
礼 故 障 了 的 算法 ,重要 的 是 n 至少 是 3f+1 ( 详 见 参考 文献 [33] ) 。 这 确保 了 收 
敛 函 数 中 两 个 节点 使 用 的 一 组 读数 可 以 重 压 。 

C 的 直观 的 解释 是 一 组 非 故 障 时 钟 读数 的 集合 。 然 而 ， 所 列 的 属性 并 不 直接 
执行 C 的 解释 ; 实际 上 ， 在 故障 和 非 故 障 时 钟 之 间 没 有 做 出 区 别 。 在 这 样 方式 
F, Schneider 模型 也 适用 于 同步 协议 可 以 使 用 故障 时 钟 读数 ,或 可 能 舍 去 
非 故 障 时 钟 的 读数 一 一 正如 TTP/C 算法 采用 的 方法 一 一 但 保证 了 实际 使 用 的 读 
数 满足 一 定 的 数学 约束 。 

Schneider 模型 的 一 般 结 果 应 用 于 TTPZC 的 时 钟 同步 的 算法 ， 分 三 个 步骤 进 
行 。 首 先 ， 开 发 的 算法 基础 模型 紧 跟 在 非 正 式 协 议 规范 的 定义 之 后 。 在 中 间 步 
了 又， 将 基础 模型 转化 成 等 价 的 、 但 更 抽象 的 版 本 ， 它 依据 Schneider 的 通用 概念 
描述 了 时 钟 同步 算法 的 内 容 。 最 后 ， 抽 象 模 型 中 所 述 的 同步 算法 被 证 明确 实 满足 
各 种 条 件 下 的 Schneider 模型 的 通用 证 据 。 

TTP/C 算法 形式 化 分 析 中 的 关键 步 又 之 一 ， 是 定义 在 精度 增强 定义 中 提 及 
的 集合 C 的 适当 的 解释 。 传 统 意义 上 ， 集合 C 被 解释 为 非 故 障 节 点 的 集合 。 这 
种 解释 在 故障 假设 一 一 在 任何 时 间 至 多 有 J 节点 是 故障 的 一 一 之 下 是 可 行 的 。 在 
这 一 定义 背后 的 定理 是 隐 含 的 假设 ， 即 节点 可 以 仅 用 很 小 的 误差 取得 非 故 障 节点 
的 时 钟 读数 ， 且 当 从 相同 的 非 故 障 节点 读 取 时 钟 时 ， 两 个 节点 得 到 的 结果 大 致 相 
同 。 时 钟 读数 的 重要 方面 即 精 度 增强 强调 定义 的 先决 条 件 ， 是 其 质量 ， 而 非 起 
VR, FA TTPZC 的 算法 中 的 一 个 节点 只 保留 已 经 接收 到 的 数据 中 的 最 后 四 个 节 
点 的 读数 ， 所 以 不 能 取 n 作为 系统 的 节点 数量 ， 且 用 C 表示 非 故障 节点 的 集合 。 
这 就 是 无 法 建立 合适 的 界限 并 和 了 的 原因 ， 因 而 精度 增强 先决 条 件 的 满足 也 适 
用 于 对 于 那些 非 故 障 节点 ， 其 中 不 存在 时 钟 读数 存储 在 节点 队列 中 。 

作为 TTPZC 的 实例 ， 因 而 C 被 定义 为 从 任意 节点 队列 中 可 读 取 时 钟 读数 节 
点 集合 的 交集 。 为 了 建立 TTPZC 精度 增强 的 证 明 ， 必 须 证 明 C 至 少 包含 三 个 元 
素 ， 也 就 是 说 ,任意 两 个 非 故障 结 点 p 和 9g 在 各 自 的 列 阵 中 必须 具有 至 少 三 个 公 
共 节 点 的 时 钟 读数 [3]。 
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15.4.1.3 分 离 不 变量 
组 成 员 的 协议 属性 ， 即 算法 在 节点 之 间 保 持 有 关 其 他 节点 正常 运行 的 一 致 观 
点 ， 是 不 变量 ， 它 也 称 为 安全 属性 ， 其 包含 系统 所 有 可 达 的 状态 。 传 统 上 ， 这 种 
不 变 属 性 的 验证 需要 通过 某 种 形式 的 归纳 证 明 : 一 是 初始 状态 (s) 保持 的 属 
性 ， 以 及 所 有 状态 转换 所 保持 的 属性 。 然 而 ， 所 需 的 性 质 很 少 可 以 归纳 ， 因 此 ， 
为 了 建立 可 以 归纳 证 明 的 步骤 ， 必 须 进 行 通 过 联合 附加 属性 这 样 的 强化 处 理 。 反 
过 来 ， 这 些 附 加 属性 也 必须 是 不 变量 。 通 常情 况 下 ， 这 个 过 程 被 重复 了 好 几 次 才 
可 以 完成 归纳 证 明 。 
Rushby 基于 算法 可 能 状态 的 符号 前 向 可 达 性 分 析 !5] ， 提 出 了 一 种 证 明 不 变 
量 属性 的 方法 。 这 种 方法 有 利于 通过 采用 分 离 式 变量 ， 建 造 归 纳 不 变量 属性 ， 且 
这 种 方法 被 应 用 于 验证 TTP/C 组 成 员 算法 中 [6] 。 
从 初始 状态 开始 ， 当 节点 执行 算法 的 每 个 步骤 时 ， 节 点 进行 的 状态 更 新 被 反 
复 检查 。 在 每 一 步 又 ， 所 有 节点 的 状态 用 统一 的 方式 描述 ， 以 形成 算法 的 一 种 特 
定 构造 。 然 后 ， 算 法 的 每 一 个 步骤 执行 对 应 于 从 一 种 结构 转换 到 另 一 种 结构 。 配 
置 和 转换 的 集合 可 以 自然 地 通过 示意 图 (配置 示意 图 ) 来 说 明 。 
系统 的 配置 形成 了 这 个 示意 图 的 节点 ， 且 箭头 表示 从 一 种 配置 转换 到 另 一 种 
配置 ， 其 上 的 标记 称 为 转换 条 件 。 由 于 每 一 个 转换 对 应 一 个 引 理 ， 它 象征 声明 该 
算法 执行 的 每 一 个 步骤 导致 系统 从 一 个 配置 转换 到 男 一 个 配置 ， 所 以 该 示意 图 可 
以 被 看 做 是 一 大 部 分 正确 性 属性 证 明 的 图 形 表示 。 配 置 通过 时 间 1 进行 参数 化 ， 
且 配 置 描述 系统 所 处 的 全 局 状态 。 配 置 可 以 拥有 附加 参数 ， 比 如 其 内 部 状态 不 同 
于 系统 中 其 他 节点 内 部 状态 的 节点 ,或 是 必须 描述 系统 状态 的 额外 实体 。 标 签 的 
te oe et 一 个 配置 的 先决 条 件 。 从 一 个 结构 到 男 一 
结构 的 转换 条 件 不 一 定 必 须 是 不 相交 的 ， 但 在 这 个 意义 上 显示 它们 的 分 离 性 是 真 
实 的 。 
通过 反复 运用 以 下 步 又， 可 以 系统 性 地 开发 如 TTPZC 组 成 员 算法 的 流程 图 
实现 : 
(1) 首先 定义 一 些 初始 配置 ， 通 常 包含 所 有 的 初始 状态 
(2) 选择 一 种 配置 ， 并 为 它 创造 一 定 的 转换 条 件 。 为 此 ， 必须 分 析 该 算法 
来 推导 出 可 能 采取 的 算法 分 支 。 为 了 确保 覆盖 所 有 的 情况 ， 必 须 证 明 所 有 转换 条 
件 的 分 离 性 是 真实 的 。 
(3) 然后 ， 对 于 每 一 个 新 的 转换 条 件 ， 在 给 定 的 配置 下 象征 地 模拟 出 算法 
的 每 一 个 步骤 。 
(4) 现在 要 确定 模拟 结果 是 否 变 成 一 个 新 的 配置 ， 或 者 它 是 否 是 一 个 变异 
体 ， 或 是 一 个 已 经 存在 配置 的 推广 。 在 任何 情况 下 ， 转 换 的 有 效 性 ， 也 就 是 说 该 
算法 从 一 种 配置 到 另 一 种 确实 需要 的 步骤 ， 必 须 证 明 。 
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(5) 针对 每 个 配置 和 每 个 转换 ， 步 又 (2) ~ (4) 必须 重复 进行 ， 直 到 示 


意图 结束 。 

必须 选择 这 样 的 配置 定义 ， 就 是 可 以 证 明 该 算法 属性 的 正确 性 。 这 要 求 每 个 
配置 的 描述 表明 所 需 的 安全 属性 ， 且 要 求 从 任意 一 种 配置 到 其 他 配置 的 转换 条 件 
的 分 离 性 评价 为 真 的; 这 可 以 确保 不 存在 系统 能 进入 的 其 他 的 配置 。 

这 个 方法 有 几 个 好 处 : 配置 示意 图 可 以 作为 一 种 算法 的 综合 解释 ， 它 提供 了 
进一步 了 解 其 功能 的 洞察 力 ， 并 人 允许 简单 的 假设 分 析 。 在 这 种 分 析 中 ， 其 结果 或 
微小 变化 的 影响 ， 例 如 对 算法 本 身 或 对 故障 模型 ， 可 以 进行 检验 。 成 员 算 法 的 结 
构图 形 表示 可 以 让 人 通过 示意 图 追踪 变化 的 影响 ， 以 识别 算法 可 能 会 失败 的 情 
况 。 最 后 ， 但 并 非 最 不 重要 的 ， 此 算法 不 依赖 于 系统 的 大 小 ， 也 就 是 说 ， 所 涉及 
的 节点 的 数目 。 事 实 上， 由 于 问题 的 规模 是 一 个 无 解释 的 模型 参数 ， 也 就 是 一 个 
国定 的 、 但 是 任意 的 值 ， 所 以 分 析 任 意 数目 的 节点 都 是 有 效 的 。 

15.4.1.4 假设 -保证 推理 

由 于 TTPZC 协议 组 件 中 服务 的 紧密 集成 ， 所 以 时 钟 同步 和 组 成 员 都 依赖 于 
彼此 的 正确 工作 。 显 然 ， 对 于 准备 工作 的 组 成 员 来 说 ， 为 了 能 够 发 送 和 接收 消 
息 ， 节 点 必须 同步 。 同 样 的 ， 时 钟 同步 也 依赖 于 组 成 员 ， 因 为 当 收集 远程 时 钟 的 
估计 值 时 ， 节 点 只 使 用 来 自 于 同一 组 的 发 出 者 的 消息 。 因 此 ， 如 果 一 个 特定 服务 
的 形式 化 分 析 是 孤立 进行 的 ， 且 基于 其 他 部 分 的 正确 性 假设 ， 因 为 这 种 循环 推理 
通常 是 不 健全 的 ， 所 以 问题 来 自 于 正确 的 陈述 是 否 有 意义 。 

但 是 TTP/C 有 一 个 逃避 ， 因 为 循环 依赖 可 以 通过 根据 协议 执行 的 同步 间隔 
进行 的 分 割 推理 来 打破 。 实 际 上 ， 对 于 在 第 ;个 区 间 正 党 工作 的 组 成 员 来 说 ， 第 
i 个 重新 同步 必须 是 正确 的 ， 而 这 又 依赖 于 组 成 员 在 区 间 i -1 的 工作 是 正常 的 ， 
以 此 类 推 。Rushbyl36]1 猜想 McMillan 介绍 的 证 据 规则 97 可 以 用 来 完成 在 假设 - 
保证 形式 中 组 成 员 和 时 钟 同步 正确 性 的 一 个 综合 的 证 明 。McMillan 的 规则 规定 ， 
WR: 假如 另 一 个 属性 P, 到 :1 时刻 始 终 是 正确 的 ， 则 一 个 组 件 计 保证 属性 Pj 
在 上 时 刻 是 正确 的 ， 且 反之 : 假如 属性 Pj 到 :1-1 时刻 始终 是 正确 的 ， 则 一 个 组 
(F X, RUER E P, 在 时 间 ; 是 正确 的 ， 那么 X AX, ANZA ACRE Pj 和 P, 的 组 合 也 
始终 为 真 的 。 此 外 ， 该 规则 还 允许 前 提 和 结论 都 是 相对 于 一 些 “ 辅 助 属性 ” 蔬 
的 有 效 性 。 很 容易 看 出 ， 此 规则 是 如 何 按照 规则 被 实例 化 到 成 员 和 时 钟 同 步 问题 
上 的 。 

参考 文献 对 综合 分 析 的 方法 进行 了 描述 529] ， 尽 管 形式 化 的 证 明 并 没有 展 
示 ， 但 确实 和 推理 的 风格 酷似 。 我 们 的 目标 是 要 通过 归纳 法 证 明 ， 在 所 有 的 同步 
间隔 关中， 时 钟 同步 和 组 成 员 都 正常 工作 ， 记 作 c(i) 和 Amem(i)。 组 成 员 的 验证 
在 参考 文献 中 也 有 介绍 !5] ， 该 文 对 第 二 种 组 合 提供 了 证 明 。 然 而 ， 第 一 种 组 合 
更 复杂 ， 因 为 时 钟 同步 的 归纳 步骤 要 求 节 点 把 时 钟 调整 的 计算 基于 一 个 足够 大 的 
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公共 信息 的 集合 ， 它 依赖 于 组 会 员 服务 的 可 用 性 。 这 种 要 求 可 以 通过 某 种 预测 cs 
_req(i) 来 捕 提 ， 以 致 时 钟 同步 的 归纳 步 又 实际 上 读 取 : 
cs_req(i) Ncs(i) Scs(i+1) 
因此 ， 属 性 cs_req (i) 必须 根据 第 i 个 时 间 间 隔 会 员 的 正确 性 mem(i) 来 证 明 。 
然而 ， 这 些 事实 在 不 同 的 抽象 层次 上 表达 : 后 者 在 不 定时 的 同步 系统 模型 (从 
时 钟 同步 中 抽象 ) 中 证 明 ， 而 前 者 使 用 定时 同步 模型 证 明 。Rushbyf51 表明 : 不 
定时 的 同步 模型 是 定时 模型 的 合理 抽象 ， 但 证 明 依赖 于 同步 节点 的 时 钟 。 因 此 ， 
为 了 根据 成 员 的 正确 性 来 证 明 cs_req(i) ， 男 外 还 需要 在 第 i 个 时 间 间 隔 的 时 钟 同 
步 属性 : 











mem(i) Acs(i)=cs_req(i) 
假如 时 钟 最 初 被 同步 ， 那 么 总 体 归 纳 证 明 可 以 通过 附加 引 理 来 完成 [3]。 


15.4.2 ”模型 检查 


模型 检查 是 一 个 有 吸引 力 的 技术 ， 这 是 因为 验证 过 程 必须 是 自动 的 。 然 而 ， 
基于 详尽 的 状态 探索 方法 要 求 被 分 析 的 系统 状态 空间 是 有 限 的 。 有 界 模型 检验 程 
序 把 系统 模型 编码 成 逻辑 公式 ， 并 利用 满意 度 求 解 需 搜索 给 定 属性 的 反例 。 工 
具 ， 如 BarceLogic 38] , CVC 精简 版 [ 39] 、MathSAT [40] 、Yices [41] 或 731421 集成 了 
满意 度 求解 ， 使 用 了 组 合理 论 的 决策 程序 ， 这 些 理论 包括 实数 和 整数 的 线性 算术 
等 理论 ， 因 此 提供 了 满意 度 取 模 理论 。 这 些 SMT 求解 器 可 以 用 于 处 理 有 界 模型 
检测 中 的 无 限 系 统 。 有 界 模 型 检查 是 一 种 主要 用 于 反 驶 而 不 是 验证 的 技术 。 但 
是 ， 它 可 以 通过 上 归纳 推广 用 来 证 明 安 全 属性 。 

15.4.2.1 状态 空间 探索 

由 于 模型 检测 是 一 种 自动 技术 ， 它 可 以 提供 属性 验证 失败 的 反例 ， 所 以 它 可 
以 很 好 地 用 于 容错 算法 设计 中 。 在 算法 设计 过 程 中 ,算法 的 变动 或 它 的 参数 是 根 
据 一 些 执 行 方案 或 不 同 的 故障 情况 进行 探索 。 挑 战 是 对 大 量 的 这 种 情况 下 获得 模 
型 检测 实验 的 快速 反馈 ， 进 而 实现 设计 空间 的 一 个 交互 式 的 探索 。 为 此 ， 要 注意 
把 模型 的 状态 空间 保持 在 一 个 可 行 的 尺寸 上 。 由 于 设计 变 成 综合 型 的 ， 所 以 注意 
力 从 探索 转向 验证 ， 且 模型 检验 面临 的 挑战 成 为 在 合理 的 时 间 内 针对 一 个 逼真 的 
精确 模型 ， 履 盖 一 套 真实 的 、 详 尽 的 方案 之 一 

Steiner 等 [1 在 TTA 一 个 新 的 启动 算法 分 析 中 ， 描 述 了 一 种 控制 状态 空间 大 
小 的 方法 ， 因 而 一 个 单一 的 模型 既 可 以 用 于 分 析 探 索 算 法 的 各 种 替代 方案 ， 又 可 
以 用 于 验证 最 终 设计 的 鲁 棒 性 。 故 障 大 大 增加 了 状态 空间 的 规模 ， 在 模型 检查 
中 ， 必 须 对 此 进行 探索 。 故 障 确实 造成 了 不 同 的 行为 ， 但 也 产生 不 同 于 不 相关 方 
式 的 状态 ， 在 某 种 意义 上 ， 它 们 被 模型 程序 区 别 ， 但 是 不 会 对 系统 的 行为 有 不 同 
的 影响 。 例 如 ， 一旦 正确 的 组 件 从 进一步 考虑 排除 了 这 个 节点 ， 那 么 故障 节点 的 
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具体 状态 可 能 不 相关 。 在 建 模 容错 算法 中 ， 一 个 有 价值 的 技巧 是 : 一 旦 有 故障 的 
组 件 可 能 不 影响 系统 的 行为 ， 那 么 就 把 它们 的 状态 设置 为 固定 值 。 在 启动 算法 的 
分 析 中 ， 这 种 机 制 虽然 对 小 型 或 中 型 模型 的 影响 很 小 ， 但 是 对 减少 大 模型 的 状态 
空间 是 非常 有 用 的 。 

为 了 控制 出 现 故障 的 节点 可 以 影响 系统 的 各 种 方法 ， 模 型 被 一 个 特殊 的 变量 
参数 化 ， 这 个 变量 挑选 了 故障 节点 可 能 会 出 现 的 故障 模式 。 故 障 节 点 被 模拟 为 在 
每 个 时 槽 内 可 以 发 送 任意 信息 的 节点 ， 且 这 样 一 个 故障 节点 的 可 能 输出 被 划分 为 
六 种 不 同 故障 度 。 例 如 ，1 级 程度 的 故障 只 允许 故障 节点 有 轻微 故障 ， 而 最 高 的 
6 级 程度 的 故障 允许 节点 发 送 用 正确 或 不 正确 的 语义 、 噪 声 、 两 个 通道 上 的 每 一 
个 都 是 空 信 息 构 成 的 冷 启动 信息 和 正常 信息 的 任意 组 合 。 使 用 故障 程度 较 小 和 考 
处 的 节点 数目 较 少 ， 可 以 允许 在 所 需 的 运行 时 间 与 模型 检查 者 进行 的 彻底 的 探索 
之 间 进 行 综合 。 

然而 ， 对 于 验证 来 说 ， 人 们 感 兴趣 对 故障 进行 “面面俱到 ”的 模拟 。 详 尽 
的 故障 仿真 意味 着 所 有 假设 的 故障 模式 要 进行 建 模 ， 且 检查 所 有 可 能 出 现 的 情 
况 。 对 于 启动 ， 这 意味 着 对 于 合理 规模 模型 组 ， 用 故障 程度 设置 到 6 的 模型 来 检 
测算 法 。 对 于 最 多 达 5 个 节点 的 模型 ，Steiner 等 成 功 验证 了 TTA 启动 的 正确 性 ， 
即 在 一 个 有 界 时 间 内 所 有 正确 的 节点 会 变 得 活跃 ， 并 对 调度 表 中 当前 位 置 有 一 致 
WAE”, 

15.4.2.2 无 限 状态 有 界 模型 检验 

对 于 检查 状态 过 渡 系 统 是 否 包 含 一 种 运行 ， 在 上 步 到 达 的 一 种 状态 违反 了 一 
个 给 定 属性 尸 ， 有 界 模型 检验 是 一 个 基本 技术 [231] 。 这 个 问题 可 以 转化 为 是 否 满 
ÆAR F =s) AT(s9,8,) Avs AT(s,_155,) A PC 的 问题 ， 其 中 了 是 定义 
系统 初始 状态 的 属性 ， 而 了 是 一 个 转换 关系 。 对 于 有 限 的 系统 ,7 和 了 被 编码 为 
布尔 公式 ， 且 满意 度 求解 器 用 来 检查 公式 。 无 限 状 态 有 界 模型 检查 程序 依赖 于 决 
策 程序 ， 它 通过 判定 理论 的 组 合 解决 了 无 量 纲 的 一 阶 公式 。 随 着 这 些 SMT 求解 
器 变 得 更 加 高 效 ， 有 界 模 型 检验 作为 分 析 系统 的 方法 已 经 获得 了 越 来 越 多 的 
关注 。 

如 果 要 检查 的 属性 是 口 P 形式 的 一 种 安全 属性 ， 这 意味 着 P 应 该 在 系统 所 有 
可 达 的 状态 下 是 真 的 ， 且 满足 公式 下 的 序列 状态 存在 ， 那 么 可 以 得 出 结论 ， 口 P 
不 是 真 的 。 然 而 ， 反 过 来 则 站 不 住 脚 ， 也 就 是 说 ， 如 果 下 是 无 法 满足 的 ， 不 能 
得 出 这 样 的 绪论 : OP 为 真 ， 因 为 有 可 能 一 点 也 不 存在 大 长 度 的 执行 痕迹 ， 也 有 
可 能 是 属性 对 X; 是 正确 的 , 但 是 在 一 些 早期 的 状态 中 背离 了 。 对 于 这 些 情况 ， 
可 以 考虑 通过 反复 增加 进度 kk， 检查 每 一 步 中 PP 是 否 在 任何 一 种 状态 so, s sa 
中 被 背离 ; 然而 ， 没 有 一 种 方法 可 以 用 来 证 明 口 P， 这 是 因为 未 能 找到 一 些 长 度 
的 反例 ， 因 而 并 不 排除 有 一 些 较 长 的 进度 。 需 要 注意 的 是 有 界 模型 检验 并 不 限于 
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此 ; 这 个 例子 是 为 了 便于 说 明 。 

实际 上 为 了 证 明 安 全 属性 P， 有 界 模 型 检查 被 扩展 到 归纳。 对 于 一 个 固定 
的 进度 k， 需 要 显示 在 基本 情况 下 所 有 从 最 初 满足 状态 P 开始 的 长 度 内 的 所 有 
序列 状态 。 归 纳 步 又 包括 证 明 丰 +1 长 度 状态 的 任何 序列 ， 就 是 如 果 前 个 状态 
满足 P， 那 么 最 后 一 个 状态 也 满足 。 在 大 多 数 情 况 下 ， 不 变量 P 需要 得 到 强化 ， 
以 使 其 可 归纳 。 这 样 做 的 一 个 简单 的 方法 是 增加 进度 参数 上。 然而， 解决 相应 的 
计算 公式 的 难度 随 上 指数 增长 ， 且 问题 最 终 将 变 得 行 不 通 。 可 以 选择 的 是 用 附加 
属性 0 来 加 强 不 变量 ， 并 证 明 在 基本 情况 和 额外 假设 的 归纳 步骤 下 的 所 有 状态 
的 序列 状态 都 满足 0。 作 为 充分 性 ，0 本 身 必须 是 一 个 安全 属性 ， 从 而 在 P 的 证 
明 中 扮演 引 理 的 角色 。 

Dutertre 和 Sorea 早已 使 用 SAL 系统 :4 把 归纳 法 的 无 限 状 态 有 界 模型 检查 
应 用 到 TTA 启动 算法 中 :7 。 他 们 的 研究 表明 ， 复 杂 的 努力 在 解决 复杂 证 明 上 是 
必要 的 。 例 如 ， 即 使 具有 两 个 节点 的 算法 的 简化 模型 ， 那 也 是 可 靠 的 ， 它 允许 使 
用 只 有 非常 有 限 功 能 的 守护 者 ， 但 是 上 值 超过 20 后 ， 安 全 属性 的 证 明 就 不 再 成 
立 。 运 用 三 个 简单 的 引 理 ， 两 个 节点 的 证 明 是 成 功 的 ， 但 是 当 节 点 的 数目 增加 至 
3, 计算 上 已 经 是 不 可 行 的 了 。 为 了 完成 更 多 节点 的 证 明 ， 使 用 算法 抽象 来 加 强 
属性 。 为 了 取得 适当 的 抽象 ， 它 们 应 用 分 离 不 变量 技术 ， 这 也 被 用 在 TTA 组 成 
员 算 法 的 演绎 证 明 中 。 通 过 检查 启动 算法 是 如 何 工 作 的 ， 定 义 了 许多 的 抽象 配置 
和 相应 的 抽象 转换 。 为 了 证 明 抽 象 的 正确 性 ， 建 立 了 监控 模块 ， 用 来 检查 抽象 模 
型 中 针对 每 一 个 转换 具体 算法 可 以 采取 的 转换 。 对 于 有 一 个 可 靠 守 护 者 和 高 达 
10 节点 的 系统 中 至 少 一 个 故障 节点 的 容错 版 本 的 启动 来 说 ， 抽 象 的 方法 被 证 明 
是 可 行 的 ， 能 够 证 明 所 需 的 安全 属性 。 






































15.5 前景 


TTA 所 面 对 的 应 用 范围 内 的 安全 - 关键 特性 要 求 对 基本 原则 的 正确 性 有 高 度 
的 信任 。 因 此 ， 早 已 对 TTA 的 几 个 关键 环节 进行 了 形式 化 分 析 ， 以 实现 所 要 求 
的 可 靠 度 。 然 而 ， 由 于 故障 的 部 件 可 能 是 不 受 约束 的 行为 ， 容 错 算法 本 质 上 很 难 
分 析 ， 这 极 大 地 增加 了 分 析 的 复杂 性 。 因 此 ， 形 式 验证 一 直 关 注 TTA 最 关键 的 
算法 ， 它 是 工作 的 保证 。 为 了 降低 复杂 性 ， 只 分 析 受 限制 故障 模型 下 的 一 些 情 
况 ， 如 组 成 员 算法 ， 它 基于 更 高 层次 的 抽象 ， 或 者 用 简化 的 形式 ， 如 局 动 算 法 。 
所 面临 的 挑战 仍然 要 为 TTA 的 容错 性 能 提供 全 面 的 分 析 ， 包 括 单独 算法 的 相互 
作用 和 相互 依赖 性 。 

除了 正式 验证 中 央 协 议 服务 外 ， 未 来 的 研究 还 必须 处 理 TTA 的 更 高 层次 的 
性 能 ， 例 如 系统 的 分 区 ， 它 不 是 由 特定 算法 提供 ， 而 是 从 TTA 的 各 种 协议 服务 
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及 架构 属性 的 相互 作用 中 显露 出 来 。 为 此 ， 合 适 的 形式 化 是 必要 的 ， 它 很 好 地 捕 
捉 这 些 显 露 的 属性 ， 且 需要 研究 适当 的 组 合 验证 技术 来 确保 正确 性 论点 的 形式 化 
证 明 。 

此 外 ， 未 来 形式 化 的 分 析 需 要 将 范围 扩大 ， 从 相当 抽象 层次 的 形式 化 模型 上 
的 TTA 的 关键 部 分 的 验证 ， 到 提供 一 个 完整 链 的 正确 性 论证 (从 基于 TTA 建立 
的 应 用 层次 到 协议 服务 的 基本 实施 ) 。 类 似 TTA 的 系统 也 正在 发 展 。 例 如 ，SPI- 
DER 架构 正 由 美国 NASA Langley 实验 室 的 一 个 由 电子 工程 师 和 形式 方法 研究 者 
组 成 的 小 组 开发 ， 他 们 在 底层 通信 系统 的 严格 设计 验证 中 应 用 了 理论 证 明 ， 以 保 
证 在 验证 的 形式 模型 与 硬件 实施 之 间 的 紧密 联系 [3%]。 在 FlexRay 标准 中 ，Ver- 
iSoft 工程 则 在 对 全 范围 汽车 系统 进行 普遍 验证 ， 包 括 应 用 层面 的 模型 、 通 信和 层 模 
型 和 实时 操作 系统 的 总 线 接口 的 设备 驱动 程序 模型 ， 以 及 FlexRay 总 线 接口 的 门 
层面 实施 的 模型 [%] 。 

最 后 ， 主 要 研究 挑战 在 于 把 形式 化 分 析 建 模 和 验证 技术 延伸 到 一 种 状态 ， 其 
中 形式 化 分 析 最 终 可 以 作为 时 间 触 发 系统 的 验证 基础 。 
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